TippingPoint zveřejnil 5 neopravených chyb v MS Office

23. 2. 2011

Sdílet

Společnost TippingPoint, součást HP, zveřejnila informace o 22 zranitelnostech. Za nalezené chyby firma zaplatila v rámci svého programu Zery Day Initiative.

V minulosti TippingPoint nechtěl takové informace sdělovat vůbec nikomu jinému než svým zákazníkům a dodavatelům příslušného softwaru. Podrobnosti bývaly publikovány až po vydání záplaty. Firma se však už asi před rokem rozhodla svou politiku změnit a nyní zveřejňuje informace i o neopravených zranitelnostech – a to v případě, že oprava nebyla vyvinuta do 6 měsíců. Má tak výrobce softwaru motivovat k rychlejší práci na odstraňování závad. Zástupci Googlu loni navrhovali ještě kratší prodlevu, pouhé 2 měsíce.

 

TippingPoint nyní tedy poprvé přišel se seznamem zranitelností, pro něž uplynul příslušný „deadline". Z 22 chyb je 9 v softwaru IBM, 5 v programech Microsoftu, 4 v programech HP a po 1 chybě zbylo na Novell, EMC, SCO a CA. (Údajně byl vynechán Sun, protože byl převzat Oraclem a TippingPoint proto 6měsíční lhůtu v tomto případě prodloužil.)

Zajímavé je, že všechny zranitelnosti připadající na Microsoft jsou v programech Office: 4 v Excelu a 1 se týká PowerPointu. Soustředí se snad Microsoft více na opravy operačního systému a webového prohlížeče?

Microsoft o zranitelnostech přirozeně věděl a firma se údajně původně chystala vydat záplaty už v rámci únorového balíčku, pak to však musela odložit údajně kvůli technickým problémům. Jerry Bryant, z Microsoft Security Response Center ale pro americký Computerworld ocenil, že TippingPoint poskytl o zranitelnostech jen takové informace, které by neměly příliš pomoci při tvorbě exploitů.

bitcoin_skoleni

Jinak Microsoft ze změny politiky TippingPointu ale příliš nadšený není. Firma se domnívá, že dosud neopravené chyby by měly být zveřejňovány jen v případě, že už proti nim probíhají útoky. TippingPoint nicméně vydává i doporučení, jak se chránit. Ačkoliv samotná záplata je na dodavateli softwaru, problém lze do té doby často obejít např. nastavením restriktivnější konfigurace apod.