Hirdetés

Több mint két évet kellett várni egy kritikus Microsoft-patchre

Hirdetés

Már 2007 márciusában, vagyis több mint két évvel ezelőtt jelezte a Zero Day Initiative (ZDI) biztonságtechnikai fórum az Office Web Components sérülékenységét a Microsoftnak, a szivárgó alkalmazás befoltozására mégis idén augusztus 11-éig kellett várunk, amikor is a szoftvercég kiadta az erre a hónapra esedékes javításokat a szokásos patchkedd keretében.

A kritikus minősítésű biztonsági hibára épülő exploitok júliusban szaporodtak el, az észlelésekre reagálva Redmond kibocsátott egy biztonsági ajánlást július 13-án, melyben bejelentette, hogy a lehető legrövidebb időn belül kidolgozza és elérhetővé teszi az Office Web Components javítását. Egyetlen hónap alatt sikerrel jártak: a patch MS09-043 azonosítóval érkezett meg a héten.

A ZDI eredeti, 2007 márciusában elküldött jelentésében arról számolt be Redmondnak, hogy az msDataSourceObject() metódus meghívása bizonyos esetekben memóriakezelési rendellenességeket produkálhat, melyet egy támadó felhasználhat arra, hogy távolról kártékony kódokat fecskendezzen a felhasználó számítógépére – írja a The H informatikai lap biztonsági témákkal foglalkozó oldalán.

A magazin megkérdezte a Microsoftot arról, hogy miért várt kezdetben ilyen sokáig a javítással, de a szoftvercég nem adott érdemleges választ; csupán annyit közöltek, „minden sérülékenység más”, illetve „a minőségi tesztelés folyamata hosszadalmasabb lehet az ideálisnál.”

Azóta történt

Előzmények