Microsoft potwierdza: wiedzieliśmy o luce od miesięcy

Mike Reavey, szef działu Security Response Center (MSRC) wfirmie Microsoft potwierdził na oficjalnym blogu MSRC, że firma wiedziała odwielu miesięcy o wykrytym na początku tego tygodnia krytycznymbłędzie w jej oprogramowaniu. Jej pracownicy usłyszeli o nim po razpierwszy wczesną wiosną 2008 roku. Problem zgłosili dwajspecjaliści Ryan Smith oraz Alex Wheeler pracujący dla IBM ISSX-Force. Gdy tylko dowiedzieliśmy się o problemie, rozpoczęliśmy prace.Potwierdziły one, że luka w kontrolce ActiveX może narażać Windowsna atak za pomocą złośliwej strony internetowej. - twierdziMike Reavey. Zawsze staramy się, by nasze badania byłykompletne - mówi dalej. Zawsze, gdy dociera do nas raportstaramy się nie tylko usunąć problem, ale znaleźć też ewentualnepodobne lub powiązane luki, by uczynić program tak bezpiecznym, jakto tylko możliwe. Zespół w trakcie pracy wykrył dalsze, groźne luki bezpieczeństwa.Prace nad łatkami opóźniły się jednak, gdyż ewentualne wyłączenielub usunięcie niebezpiecznych funkcji mogło zaszkodzić działaniuoprogramowania firm trzecich. Niemniej jednak Microsoft nietłumaczy, dlaczego naprawienie luki zajęło tyle czasu. Prace nadnią pochłonęły 16 do 18 miesięcy, co, zwłaszcza jak na krytycznybłąd, jest bardzo długim okresem. Dziury w oprogramowaniuumożliwiające przejęcie systemu i dostęp do funkcjiadministracyjnych winny być naprawiane znacznie szybciej. Poprawki likwidujące błąd mają pojawić się we wtorek, 14 lipca.