Microsoft potají opravil několik bezpečnostních chyb

7. 5. 2010

Sdílet

Softwarový gigant potvrdil, že minulý měsíc záplatoval tři bezpečnostní díry a nezveřejnil k tomu žádné detaily. Dvě z nich se přitom týkali důležité součásti mnoha firem – serveru Exchange.

Podle Ivana Arce, technologického šéfa společnosti Core Security, Microsoft chybu opravil, zapomněl ale odhalit, že tak učinil a zveřejnit k záplatám jakékoli podrobnější informace. „Administrátoři mohli udělat nesprávná rozhodnutí ohledně instalace updatu. Potřebují totiž více informací pro zhodnocení rizik,“ tvrdí Arce.

Podle firmy Core Security, která testuje bezpečnost systémů především tak, je vystaví reálným exploitům a bezpečnostním rizikům, mohli tyto díry útočníci využít k otravě záznamů DNS posílaným na Windows SMTP server. A právě otrava záznamů DNS (respektive její chache), kterou objevil Dan Kaminsky je považována za kriticky nebezpečnou. Záplaty pro zamezení tohoto útoky nejsou ničím neobvyklým a bezpečností experti se jimi zabývají už několik let, neobvyklé ale je, že Microsoft nezveřejnil opravu chyb a vše proběhlo „v tichosti“.

Microsoft potvrdil, že chyby opravil a neoznámil to zákazníkům, nicméně svou taktiku brání. „Když se objeví bezpečnostní díra, Microsoft provede hloubkový výzkum a hledá v kódu další bezpečnostní chyby,“ tvrdí Jerry Bryant, security program manager. Pokud tyto interně objevené chyby vyžadují vlastní update, dokumentace je k nim vydána samostatně, jinak jsou součástí jiných opravných balíků.

To ostatně potvrzuje i Andrew Storms z nCircle jako běžně používanou praktiku u většiny výrobců softwaru. Většinou prý není žádný důvod zveřejňovat detaily těchto vnitřně odhalený bugů, nikomu to totiž nepřinese žádný prospěch. Storms dále upozorňuje, že velmi podobnou chybu Microsoft opravil už v roce 2008 a podle něj tak vlastně ani nebyl žádný rozumný důvod sdělovat zákazníkům informace o tomto problému.