Zdaniem przedstawicieli Finjan Software, wykryte luki w dodatku Service Pack 2, pozwalają potencjalnemu napastnikowi na zdalne wykonanie dowolnego kodu na zaatakowanym komputerze, poprzez zwabienie użytkownika na specjalnie spreparowaną stronę internetową. Z poziomu owej witryny będzie możliwe uzyskanie dostępu do zasobów na lokalnym dysku, omijając ponadto funkcję systemowego alertu podczas pobierania lub uruchamiania plików. Jak można przeczytać w oficjalnym oświadczeniu firmy: "Poprzez wykorzystanie wszystkich luk wykrytych przez Finjan Software w dodatku SP2, napastnik może niepostrzeżenie i zdalnie przejąć kontrolę nad komputerem, podczas gdy nieświadomy niczego użytkownik przegląda strony internetowe".

Szczegóły ściśle tajne

Niestety, szczegółów technicznych dotyczących wykrytych w SP2 dziur, przedstawiciele Finjan Software wyjawić nie chcą. "Nie opublikujemy tych informacji do momentu, aż nie będziemy ich w 100% pewni" - tłumaczy Tim Warner, regional sales manager Finjan Software na Europę. Warner podkreśla również, iż wedle standardowych procedur firmy, przedstawicielom Microsoftu zostały zademonstrowane sposoby wykorzystania wszystkich wykrytych luk w Service Packu 2.

Ze wstępnych analiz przeprowadzonych przez specjalistów z Microsoftu wynika, iż sytuacja nie jest jednak aż tak tragiczna, jak przedstawia ją Finjan Software. Zdaniem rzecznika koncernu, pierwsze badania wykazały, iż wykryte luki nie stanowią aż tak wielkiego zagrożenia, a Finjan Software prawdopodobnie wysuwa mylne hipotezy. Nie zmienia to jednak faktu, iż Microsoft docenia dyskrecję tej firmy w zakresie nie udzielania bardziej konkretnych informacji, aż do momentu oficjalnego zakończenia śledztwa prowadzonego w tej sprawie.

Dziury bez potwierdzenia

Ze względu na brak technicznych szczegółów dotyczących wykrytych przez Finjan Software dziur w SP2, nie ma też możliwości niezależnego potwierdzenia faktu ich istnienia. Powstaje zatem pytanie o zasadność publikowania tego typu informacji. Czy nie jest to tylko pewna forma autoreklamy?

Pierwsza krytyka działań Finjan Software napłynęła ze strony specjalistów z duńskiej firmy Secunia: "Inne firmy, włączając w to również nas, współpracują odpowiedzialnie (i w pełni dyskretnie) z Microsoftem. Nie powinno się publikować tego typu informacji, kiedy są one jeszcze poddawane analizie, a ich wiarygodność nie została ostatecznie i oficjalnie potwierdzona" - twierdzi Thomas Kristensen, chief technology officer w firmie Secunia.

Tim Warner broni jednak stanowiska Finjan Software tłumacząc, iż wykryte przez nich dziury mają tak duże znaczenie, że użytkownicy muszą być świadomi ich istnienia natychmiast: "Są ludzie, którzy myślą, że ich komputery z systemami Windows XP z dodatkiem SP2 są bezpieczne. Rzecz w tym, iż tak nie jest - nowe luki ciągle będą się pojawiały. Taka jest po prostu kolej rzeczy" - twierdzi Warner.

Nie pierwszy raz. Czy nie ostatni?

Jeśli informacje Finjan Software potwierdzą się, nie będzie to pierwszy przypadek znalezienia luki w Service Packu 2. Niedługo po oficjalnej premierze tego pakietu w sierpniu, pojawiło się doniesienie o dziurze w przeglądarce Internet Explorer, która umożliwiała specjalnie spreparowanej stronie internetowej umieszczenie wykonywalnego kodu lub skryptu w komputerze ofiary. Na jeden z wykrytych wariantów luki została już opublikowana odpowiednia poprawka, jednak drugi z nich (opublikowany w październiku) nadal pozostaje 'nie załatany' (więcej informacji w artykule: "Nowe krytyczne dziury w IE i SP2").

Thomas Kristensen uważa, że pomimo faktu, iż dodatek SP2 w znacznym stopniu poprawia bezpieczeństwo systemu, Microsoft powinien posunąć się jeszcze dalej: "W naszej opinii, pewne opcje Internet Explorera powinny być bardziej radykalnie zmodyfikowane. Niewykluczone, że spowodowałoby to ograniczenie funkcjonalności, lecz użytkownicy zaakceptowali by to, biorąc pod uwagę liczbę krytycznych aktualizacji, jakie ukazały się już do tej pory". Kristensen przewiduje ponadto, że to jedynie kwestia czasu, zanim informacje o kolejnych lukach w Service Packu 2 zaczną się pojawiać w Sieci.

Jak powiedział nam Mirosław Maj, szef CERT Polska: "Nie popieramy ujawniania informacji o lukach systemowych przed wyprodukowaniem 'łat' dla tych luk. Oczywiście istnieje sytuacja, w której producent oprogramowania nie przykłada się do pracy nad jego poprawą i wtedy opublikowanie informacji, o tym że luki są jest dopuszczalne. Najlepiej aby istniała ścisła polityka co do obowiazujacych zasad. Taką politykę ma chociażby CERT/CC, ktory daje producentowi 45 dni na rozwiązanie problemu (w szczególnych wypadkach więcej). Okres 30 dni wydaje się być minimalnym czasem. Jednak i po tym okresie nie dopuszczalne jest publikowanie exploit'ow".

Więcej informacji: Finjan Software