Microsoft mógł wiedzieć o błędzie w ActiveX od 18 miesięcy

Dwa dni temu informowaliśmy o luce związanej z przeglądarką Internet Explorer. Dotyczyła onakontrolki ActiveX do odtwarzania treści przesyłanychstrumieniowo. Okazuję się, że producent przeglądarki mógł wiedzieć o podatnościswojego produktu na taki błąd dużo wcześniej. Jak dowiedział się Computerworld, w raporcie dotyczącymzgłoszenia problemów zabezpieczeń, Microsoft znalezienie błęduprzypisał parze specjalistów ds. bezpieczeństwa - Ryanowi Smithowii Alexowi Wheelerowi. Wheeler nie ujawnił, kiedy znaleziono błądoraz kiedy poinformowano Microsoft, przyznał jednak, że wraz zkolegą zajmowali się badaniem kontrolki ActiveX jeszcze, gdypracował dla IBM, czyli półtora roku temu. Sugestią, że Microsoft mógł wiedzieć o błędzie wcześniej jest takżenadany luce numer zgłoszenia (sygnatura). Błąd opisywany jest jako2008-0015, co oznacza, że do bazy znanych problemów dodano go napoczątku 2008 roku. Natomiast pierwszy wpis dotyczący błędu irezerwujący dla niego numer jest datowany na 13 grudnia 2007. Microsoft nie komentuje tych doniesień. Nie odpowiada na pytania,kiedy znaleziono błąd, ani kiedy powstanie stosowna poprawka. AlexWheeler twierdzi, że błąd jest poważny. Do jego wykorzystaniawystarczy odpowiednio przygotowany serwer WWW. Przewiduje on, żewkrótce w sieci pojawi się odpowiedni exploit i zagrożenie będziejeszcze większe. Specjalista zaleca zmianę przeglądarki - produktykonkurencji nie wykorzystują technologii ActiveX i nie są podatnena ataki. Warto dodać, że to nie pierwszy problem bezpieczeństwa technologiiActiveX. Pisaliśmy już o kilku przypadkach, w których błędnie napisanakontrolka powodowała spore problemy z bezpieczeństwem. Microsoft usilnie próbuje poprawić tą technologię, wprowadzajączmiany w jej działaniu.