Znajdź zawartość

Microsoft poinformował, że w bieżącym roku załatał rekordowo małą liczbę krytycznych dziur. Ostatnio tak mało luk znaleziono w produktach koncernu w 2005 roku. W całym bieżącym roku Microsoft wydał 99 biuletynów bezpieczeństwa, z czego 32% stanowiły biuletyny oznaczone jako „krytyczne". W drugiej połowie roku ich odsetek wynosił 20%. Zdaniem przedstawicieli Microsoftu, mniejsza liczba wykrywanych krytycznych błędów to efekt dobrej pracy poszczególnych grup produktowych. Przed dwoma dniami, we wtorek, koncern wydał ostatni w bieżącym roku zestaw łat. W jego skład weszło 13 biuletynów, poprawiających 19 dziur. Trzy biuletyny zyskały ocenę „krytyczne". Początkowo planowano publikację 14 biuletynów dla 20 dziur, jednak okazało się, że jedna z łat jest niekompatybilna z oprogramowaniem firmy trzeciej, zostanie więc udostępniona po rozwiązaniu problemu.

Wskutek pomyłki Microsoftu przewidziany na 13 września zestaw łat publikowanych w ramach comiesięcznego Patch Tuesday ukazał się kilka dni wcześniej. W Sieci pojawiły się odnośniki do biuletynów od MS11-070 do MS11-074. Microsoft szybko usunął biuletyny, ale wcześniej informacja o ich dostępności została opublikowana na niektórych witrynach. Dziennikarze serwisu Threatpost postanowili zapytać w Redmond, jak to się stało, że bardzo dobrze dotychczas działający system publikacji poprawek, zawiódł. Dowiedzieli się, że prawdopodobną przyczyną może być przeprowadzana właśnie zmiana schematu adresów, pod którymi publikowane są biuletyny, by łatwiej można było je wyszukiwać w różnych językach. Wcześniejsze pojawienie się poprawek nie stanowi natychmiastowego zagrożenia dla użytkowników Windows. Jednak należy brać pod uwagę fakt, że cyberprzestępcy korzystają z publikowanych przez Microsoft biuletynów, by dokonać na nich inżynierii wstecznej i dzięki temu dowiedzieć się, gdzie znajdują się łatane przez nie dziury. Jeśli zatem przypadkowo opublikowane biuletyny wpadły w ręce przestępców, zyskali oni dodatkowy czas na odkrycie luk i przygotowanie ataków.

Ivan Arce, główny technolog firmy Core Security Technologies, informuje, że Microsoft po cichu załatał trzy bardzo poważne dziury. Łaty odkrył pracowanik Core Labs Nicolas Economou, który przeanalizował kwietniowy biuletyn MS10-024. Jego zdaniem znalazły się w nim dwie łaty dla serwera pocztowego Exchange oraz jedna dla SMTP Service. Koncern w opisie biuletynu nie poinformował o tych łatach. Postępowanie takie można tłumaczyć faktem, że firma nie chciała, by o istnieniu łat dowiedzieli się cyberprzestępcy, którzy mogą za pomocą reverse engineeringu przeanalizować łaty i przygotować szkodliwy kod. Arca uważa jednak, że niepoinformowanie o poprawkach to błąd. One są ważniejsze niż dwie pozostałe w tym biuletynie, o których Microsoft poinformował. To oznacza, że administratorzy mogą podjąć złą decyzję, gdy będą zastanawiali się nad instalowaniem poprawek. Oni potrzebują tej informacji, by ocenić ryzyko - mówi Arce. Jak mówi Andrew Storms, dyrektor ds. bezpieczeństwa w firmie nCircle Security, wydawanie łat w tajemnicy nie jest niczym nowym. Twórcy oprogramowania robią tak od lat. Najczęściej dzieje się tak w przypadku dziur znalezionych przez samą firmę. Niezwykły jest tylko fakt, że Core Security zdecydowało się na upublicznienie swojego odkrycia. Storms zauważa, że nie istnieją żadne wymogi, które nakazywałyby producentowi oprogramowania rejestrowania luk, które odkrył samodzielnie i informowanie o nich. Zgadza się jednak ze zdaniem Ivana Arce, że takie działanie może narazić klientów na niebezpieczeństwo spowodowane złą oceną zagrożenia. Jeśli na przykład w łacie ocenionej przez Microsoft jako 'umiarkowana' znajdzie się poprawka dla krytycznej dziury, to niższy niż rzeczywisty status poprawki może zmylić użytkowników, którzy mogą zdecydować, że w takim razie odłożą na później zainstalowanie poprawki - mówi Storm. Przedstawiciele Microsoftu przyznali, że po cichu załatano dziury.

Microsoft przypomina o zbliżającym się końcu wsparcia dla kilku wersji Windows. Dla Windows Vista RTM wsparcie kończy się 13 kwietnia, natomiast dla Windows XP SP2 oraz Windows 2000 koniec wsparcia przewidziano na 13 lipca bieżącego roku. Warto tutaj zauważyć, że dla 64-bitowej wersji Windows XP nie istnieje Service Pack 3, a zatem ostatnie w historii poprawki dla tego systemu zostaną opublikowane 8 kwietnia. Użytkownicy 32-bitowego XP powinni zainstalować SP3 by móc nadal korzystać ze wsparcia technicznego. Podane przez Microsoft daty oznaczają koniec jakiejkolwiek pomocy. Koncern nie będzie więcej publikował poprawek ani biuletynów bezpieczeństwa. Osoby, które nadal chcą korzystać z systemu operacyjnego Microsoftu i zależy im na dostępie do poprawek, powinny zaktualizować swój OS. Firma z Redmond poleca zakup i instalację Windows 7.