Nie zapomnieliśmy o lutowych biuletynach bezpieczeństwa – to Microsoft nie zdołał ich wydać
Drugi wtorek miesiąca minął nam jakoś dziwnie cicho. Taklubiany przez użytkowników, a przede wszystkim przezadministratorów Windowsa dzień nie dostarczył tego, do czegoprzywykliśmy. Microsoft nie wydał żadnych łatek. Coś takiego niemiało miejsca od lat – i wygląda na to, że aktywniewykorzystywana już do ataków luka w protokole SMB, pozwalającazdalnie wywołać niebieski ekran, pozostanie z nami kolejny miesiąc.
Wcześniej nic nie wskazywało, że wtorkowych łatek nie będzie– jednak w ostatniej chwili na blogu Microsoft Security ResponseCenter opublikowano wpiso tym, że najwyższym priorytetem dla firmy jest zapewnienienajlepszych możliwych doświadczeń w utrzymaniu i ochronie ichsystemów. Jako że w ostatniej chwili Microsoft odkrył problem,który mógł wpłynąć na niektórych klientów i nie zostałrozwiązany na czas, planowane aktualizacje zostały przesunięte.
I to jak przesunięte… o cały miesiąc. W aktualizacji wpisupoinformowano, że planowane na luty łatki zostaną dostarczone wramach aktualizacji marcowej. Wyjaśnień żadnych, ale mająca swojeukłady w Microsofcie pani Mary Jo Foley doniosła, że w Redmondnawalił system budowania – i dlatego póki co łatek nie będzie.
Warto przypomnieć, że to właśnie od lutego miało rozpocząćsię informowanie o lukach poprzez zbiorczy portal internetowy, jakrównież dostarczanie niezależnie od skumulowanych uaktualnieńłatek dla Internet Explorera. No cóż, nie wyszło. Atak SMB, przedktórym ostrzegałz początkiem lutego amerykański CERT, wciąż jest możliwy dowykonania.
Demonstration of Microsoft Windows SMB Tree Connect Response denial of service vulnerability 867968
Cała sprawa pokazuje, jak bardzo obecny cykl aktualizacjiMicrosoftu nie sprzyja bezpieczeństwu – dostarczanie zbiorczejpaczki, zamiast niezależnych łatek dla określonych komponentówsystemu, które można by było niezależnie włączać i wyłączać,wiąże się z ryzykiem dla stabilności działania całościsystemu. Niemożność dostarczenia zbiorczego uaktualnieniaprzełożyła się na niemożność załatania pewnie niejednej luki.
Tymczasem Adobe wydałoswoje biuletyny bezpieczeństwa dla Flash Playera. Było wśród nich13, które pozwalały na zdalne uruchomienie kodu. Czyodinstalowaliście już Flash Playera ze swoich systemów? Imzrobicie to prędzej, tym będzie lepiej.
