Microsoft przyznał, że wiedział o błędzie w IE!
Microsoft przyznał w specjalnym oświadczeniu, że wiedział o krytycznym błędzie w Internet Explorerze (wersjach 6 i 7) od półtora roku. Luka już została wykorzystana w atakach przeciwko użytkownikom tej przeglądarki. Według specjalistów ds. bezpieczeństwa, zachowanie koncernu z Redmond jest niedopuszczalne.
Microsoft przyznał w specjalnym oświadczeniu, że wiedział o krytycznym błędzie w Internet Explorerze (wersjach 6 i 7) od półtora roku. Luka już została wykorzystana w atakach przeciwko użytkownikom tej przeglądarki. Według specjalistów ds. bezpieczeństwa, zachowanie koncernu z Redmond jest niedopuszczalne.
Jak poinformował Mike Reavey (szef microsoftowego działu Security Response Center), Microsoft po raz pierwszy dowiedział się o błędzie na początku 2008 r. od dwóch pracowników IBM, którzy wykryli błąd.
Zdaniem Johna Pescatore, konsultanta ds. bezpieczeństwa firmy analitycznej Gartner, takie zwlekanie z poinformowaniem użytkowników jest niedopuszczalne. Nie widzi on także powodów technicznych, mających spowalniać usunięcie błędu. Stwierdził, że być może jest to po prostu kwestia biznesowa.
Microsoft broni się i twierdzi, że zajął się sprawą, kiedy tylko dowiedział się o luce.* "Przyglądamy się nie tylko błędowi, ale także wszelkim okolicznościom dodatkowym. Chodzi o to, by zapewnić naszym klientom maksymalną ochronę"* - powiedział Reavey.
Dodał jednak, że czas jaki pochłania praca nad poprawką, okazał się wyjątkowo długi, ale nie jest to norma, ponieważ większość błędów jest łatana znacznie szybciej. Microsoftu broni jeden z odkrywców dziury, Ryan Smith, który twierdzi, że to wyjątkowy problem, dlatego firma z Redmond pracuje nad łatką tyle czasu.
Reavey zdementował doniesienia mówiące, iż Microsoft wiedział o atakach od kilku tygodni. Według niego już dzień po uzyskaniu tych informacji, firma poinformowała użytkowników swojego oprogramowania.
Wśród tej wymiany zdań jedno jest pewne. Nie pojawiła się jeszcze żadna poprawka, tylko narzędzie pomagające wyłączyć kontrolkę ActiveX, która jest podatna na ataki. Według Microsoftu chciano dać użytkownikom gotową łatkę, jednak z powodu ataków, zdecydowano się na opublikowanie narzędzia, mającego częściowo rozwiązać problem.
Szacuje się, że w tej chwili w sieci istnieje setki tysięcy (być może nawet miliony) stron, z których można przeprowadzić atak. Często są to pozornie bezpieczne witryny zainfekowane przez hakerów złośliwym kodem. Użytkownik nie musi nic robić, aby zarazić swój komputer. Wystarczy, że wejdzie na taką stronę używając IE 6 lub 7.
Źródło: Computerworld
