Společnost Microsoft potvrdila, že o závažné bezpečnostní díře ví už minimálně šestnáct měsíců. Velké kritice se však brání slovy, že udělat záplatu „není jen tak“. Analytici a odborníci na počítačovou bezpečnost jsou z takového postoje Microsoftu nemile překvapeni.

V uplynulém týdnu se objevily informace, že Windows sužuje závažná zranitelnost, která útočníkovi umožňuje snadno získat kompletní kontrolu nad počítačem. K tomu stačí jen to, aby uživatel vstoupil na webovou stránku obsahující škodlivý kód. Díru v současnosti už útočníci zneužívají. Ovšem než  záplata vyjde, bude to „nějakou dobu“ trvat.

Jak se před pár dny zjistilo, Microsoft o zranitelnosti ví už dlouhou dobu. Původní domněnky hovořily o začátku roku 2008 nebo dokonce konci roku 2007. Server Computerworld totiž oslovil spoluautora objevu zranitelnosti Alexe Wheelera, který ji s Ryanem Smithem našel, když spolu pracovali v laboratoři IBM ISS X-Force. Wheeler vzhledem k dohodě o mlčenlivosti nemohl komentovat, kdy přesně chybu našli, ale prozradil, že to bylo ještě v době, než nastoupil do společnosti 3Com, tedy před lednem 2008.

Více v článku Microsoft o kritické chybě možná ví už od roku 2007.

Microsoft nyní potvrdil, že o chybě opravdu ví více než rok. Mike Reavey z Microsoftu prohlásil, že nahlášena byla začátkem jara 2008.

John Pescatore, hlavní bezpečnostní analytik ze společnosti Gartner, pro Computerworld řekl, že čekání na záplatu takto závažné chyby v délce 16 nebo 18 měsíců je nemyslitelně dlouhé. „Taková prodleva je nepřijatelná. Takto velké firmě, jako je Microsoft, by to nemělo trvat rok. Nenapadá mě žádný technický problém, který by měl 18 měsíční zpoždění způsobit. Příčinou musí být tedy něco jiného, možná obchodní důvody, produktové důvody nebo otázka priorit,“ řekl.

„Vyšetřování zranitelnosti jsme odstartovali hned, jak jsme dostali hlášení,“ hájí Microsoft Reavey. „Když je zranitelnost nahlášena, nezkoumáme jen ji, ale také prošetřujeme ostatní problémy s ní související, abychom poté poskytli co nejsilnější ochranu.“ Proč tak dlouho příprava záplaty Microsoftu trvá v tomto případě, ale komentovat nechtěl.

Microsoft v příštím týdnu vydá další sadu záplat pro Windows, ale záplata této zranitelnosti mezi nimi nebude. „Vydáme ale něco, co zablokuje všechny známé útoky [přes ní vedené].“ Bude se jednat o stejné dočasné řešení spočívající ve vypnutí Video ActiveX Control. To mohou uživatelé provést i teď na webové stránce http://support.microsoft.com/kb/972890.

Podle společnosti ScanSafe bylo přes tuto zranitelnost a Internet Explorer 6 a 7 nakaženo a napadeno již několik milionů počítačů s Windows. A útoky sílí.  Roger Thompson z firmy AVG Technologie varuje, že zranitelnosti v ActiveX mohou dát vzniknout novému „Confickeru“, co se týče rozsahu útoků.