Microsoft wiedział o krytycznym błędzie w Internet Explorerze?
09.07.2009 01:20
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Kilka dni temu pojawiła się informacja, że Internet Explorer posiada krytyczny błąd związany z obsługą DirectX. Okazało się, że prawdopodobnie Microsoft wiedział o nim już dużo wcześniej, bo aż od 18 miesięcy!
Kilka dni temu pojawiła się informacja, że Internet Explorer posiada krytyczny błąd związany z obsługą DirectX. Okazało się, że prawdopodobnie Microsoft wiedział o nim już dużo wcześniej, bo aż od 18 miesięcy!
Błąd w przeglądarce Microsoftu wykryli dwaj specjaliści ds. bezpieczeństwa - Ryan Smith oraz Alex Wheeler. Obaj w czasie kiedy odkryli lukę, pracowali dla zespołu ISS X-Force stworzonego przez IBM. Po pewnym czasie Wheeler odszedł i znalazł pracę w 3Com.
Wheeler nie chciał zdradzić, kiedy dokładnie znaleziono błąd i kiedy przekazano te informacje do Microsoftu. Przyznał jednak, że zajmował się Internet Explorerem jeszcze w czasie pracy dla IBM czyli co najmniej półtora roku temu. Od początku 2008 r. pracuje bowiem dla 3Com.
Kolejnym dowodem na to, że gigant z Redmond wiedział o wszystkim jest sygnatura sprawy CVE w bazie danych firmy - "2008-0015" wskazuje na to, że dokumentacja powstała na początku 2007 r. Warto zaznaczyć także fakt, iż informacja została zarejestrowana w bazie danych już 13 grudnia 2007 r.
Przedstawiciele zespołu, którego specjaliści wykryli lukę, nie potwierdzili kiedy dowiedział się o niej Microsoft. We własnym alercie napisali jednak, że ataki przeprowadzane są dzięki niej co najmniej od 9 czerwca. Twórcy IE poinformowali natomiast, że wszystko rozpoczęło się dopiero kilka dni temu.
Co więcej, osoby odpowiedzialne za ujawnienie luki mówią, że błędy są tak naprawdę dwa. Oprócz tego związanego z kontrolką ActiveX istnieje także problem związany z obsługiwaniem przez IE pamięci. Microsoft nie odniósł się na razie do całej sprawy - nie potwierdzono kiedy koncers otrzymał informację oraz tego dlaczego nie pojawiła się jeszcze odpowiednia łatka.
Źródło: Computerworld • Securitystandard.pl