Microsoft (Wikimedia/Johannes Hemmerlein)

O právě zalepené díře v internetovém prohlížeči Internet Explorer, který stále používá nejvíce lidí na světě, Microsoft věděl několik měsíců. Přesto nedělal nic – tedy dokud se neobjevil zákeřný kód, který přes ní mohl začít napadat operační systém Windows.

Redmondská společnost o zranitelnosti sužující její webový prohlížeč musela vědět nejméně šest měsíců. Nicméně díru nechávala tak. Vyplývá to z údajů firmy VeriSign iDefense. Microsoft začal něco dělat až v tu chvíli, kdy se objevil popis zranitelnosti i s funkčním zákeřným kódem.

Kód v druhé půlce listopadu uveřejnil hacker, jenž si přezdívá K4mr4n.

Čtěte také:

• Microsoft o kritické chybě možná ví už od roku 2007
• Microsoft: o kritické zranitelnosti opravdu víme déle než rok
• Microsoft odmítá zalepit bezpečnostní díry TCP/IP ve Windows XP

Z dostupných informací lze vyčíst, že společnost iDefense v rámci programu Zero Day Initiative chybu Microsoftu nahlásila již 9. června letošního roku. Microsoft hlášení ignoroval; a možná proto, že chyba se týkala starších verzí Internet Exploreru, jmenovitě IE 6 a IE7. Nejnovější verze IE 8 chybou postižena nebyla. Avšak proti Microsoftu hraje fakt, že tyto dvě verze Internet Exploreru stále používá asi 40 % internetových uživatelů po celém světě. Tyto skutečnosti, vedle dalších nedávných případů, jsou v přímém rozporu s tím, co Microsoft hlásá o bezpečnosti svého webového prohlížeče a taky celkovém přístupu k zranitelnostem, které se v jeho produktech objevují.

Firma se do práce pustila až v tu chvíli, kdy se na internetu objevil funkční kód, který byl díru s to zneužít k napadení systému Windows. Microsoft se ale vůbec nezmínil o tom, že mu chyba byla nahlášena dávno předtím. Nevysvětlil tak ani, proč ji tak dlouho ignoroval.

Jak uvádí server Computerworld.com, Microsoft si za svou – zdánlivě – rychlou reakci při vývoji záplaty vysloužil pochvalu od odborníků z firem, které se zabývají bezpečnostní softwaru. Ty mu totiž původně nevěřily, že opravu dokáže rychle vydat do prosincové dávky Windows Update.

„Tohle Microsoft stihl v rekordním čase – vydal záplatu během dvou týdnů,“ uvedl před pár dny Andrew Storms ze společnosti nCircle, který ještě netušil, že Microsoft o zranitelnosti ví půl roku.

Obvykle mu totiž trvá poměrně dlouho, než záplaty na nebezpečné díry v softwaru vydá. Jen vzácně se stává, že záplatu vydá mimo datum pravidelné měsíční dávky v rámci Windows Update – to už musí po internetu řádit zákeřný kus kódu úspěšně napadající počítače s Windows.

Pokud záplata na některých klientských počítačích nemohla být z různých důvodů nainstalována, Microsoft radí vypnout podporu javascriptu – což ovšem negativně ovlivní vykreslení a funkčnost většiny webových stránek, které uživatel navštíví.