Tvrdí, že Microsoft sám přitom prosazuje praxi, aby se informace o zranitelnostech nezveřejňovaly před vydáním oprav, právě to však nyní nepřímo učinil.
O problému jsme zde již psali (Microsoft zveřejnil obří záplatu pro PowerPoint).
Microsoft tak podle Frantzena porušil svá vlastní pravidla „odpovědného zveřejňování“. Jakmile jsou vydány opravy, i ti útočníci, kteří neměli k dispozici kódy pro zneužití zero day, mohou pomocí reverzního inženýrství zjistit, v čem chyba spočívala. Pokud současně pro určitou část uživatelů opravy k dispozici nejsou, hrozí vše přerůst v katastrofu.
SANS Institute se odvolává i na statistiky ankety na svém webu, kde většina hlasujících postup Microsoftu kritizovala. Analytik společnosti Gratner John Pescatore se naopak Microsoftu zastal a uvedl, že zvolil podle něj správný postup. Podle Pescatora existují tři možné koncepce bezpečnostních aktualizací:
- Vydávat záplaty až ve chvíli, kdy jsou verze pro všechny systémy spolehlivě otestovány.
- Vydávat záplaty co nejrychleji, s tím, že pak ovšem budou muset být opravovány dalšími záplatami.
- Vydávat záplaty postupně, otestované alespoň pro ty systémy, které jsou nejvíce ohroženy. Rychle opravovat tam, kde už stejně probíhají pokusy o zneužití.
Pescatore pokládá třetí možnost, tj. tu, kterou zvolil Microsoft, za nejlepší.
Andrew Storms z nCircle Network Security k celé záležitosti ještě dodal, že kód zneužití byl již dlouho k dispozici a koloval po Internetu. Není podle něj pravděpodobné, že by ze zveřejnění záplaty pro verze PowerPointu pro Windows někdo dokázal tak rychle získat způsob zneužití pro MacOS – pokud by ho už neznal dříve. I Storms nicméně připustil, že Microsoft opravdu de facto porušil pravidla, která sám prosazuje, byť to bylo odůvodněné.
Jonathan Ness z Microsoft Security Response Center uvedl, že žádný ze zachycených vzorků kódu, který se pokoušel o zneužití chyby, se netýkal MacOS. Společnost proto se zveřejněním záplaty alespoň pro Windows nechtěla čekat.
I Adobe při opravě Acrobatu a Acrobat Readeru opomněla uživatele určitých verzí tohoto softwaru pro MacOS (Aktualizaci Acrobat Readeru se nevyplatí odkládat).
PŘEDPLATNÉ
ČLÁNKY DO MAILU