Jedná se přitom o chyby, které výzkumníci Microsoftu objevili již loni a reportovali dodavatelům. Ti už zranitelnosti (rovněž ještě loni) opravili. Z pohledu uživatelů, kteří mají aktuální verze prohlížečů, nemá tedy oznámení Microsoftu v tuto chvíli žádný význam.
Mike Reavey, ředitel Microsoft Security Response Center, ale uvádí, že Microsoft chce podobná varování zveřejňovat častěji, a to i v případě, že chyby dosud nejsou zalátány – k tomu firma přistoupí, pokud zaznamená, že proti příslušným zranitelnostem již probíhají útoky. Microsoft chce ale postupovat v koordinaci s dodavatelem a neuvádět o chybách technické podrobnosti, které by mohly útoky usnadnit. (V této souvislosti Microsoft vyžaduje po svých zaměstnancích, aby zranitelnosti nezveřejňovali na vlastní pěst, a to bez ohledu na to, zda je objevili v rámci svých soukromých aktivit. Pro srovnání, zaměstnanci Googlu již naopak několikrát zveřejnili informace o zranitelnostech v produktech Microsoftu dříve, než měla firma vyvinutou opravu.)
Již v roce 2008 zástupce Microsoftu na konferenci Black Hat prohlásil, že Microsoft se začne starat nejen o zabezpečení vlastního softwaru, ale celého ekosystému Windows. Jak vidno, tyto aktivity se ale rozvíjejí poměrně pomalu. Microsoft ostatně původně chtěl o chybách pouze informovat dodavatele a nevydávat veřejná varování, společnost však posléze svůj postoj změnila.
Andrew Storms z firmy nCircle Security na americkém Computerworldu soudí, že postup Microsoftu by mohl uživatelům přinést výhodu – u svého vlastního softwaru totiž firma produkuje popisy bezpečnostních zranitelností na vyšší úrovni než konkurence. Tudíž i výklady o chybách v softwaru třetích stran by díky Microsoftu nyní mohly být pro uživatele srozumitelnější...
PŘEDPLATNÉ
ČLÁNKY DO MAILU