Falstart Microsoftu z aktualizacjami bezpieczeństwa
- Antoni Steliński,
- 12.09.2011, godz. 11:43
W miniony piątek Microsoft poważnie naruszył własne zasady udostępniania informacji o lukach w swoich produktach - firma najprawdopodobniej przez pomyłkę opublikowała w Internecie szczegółowe opisy poprawek, które mają pojawić się dopiero jutro.
Tym razem było jednak inaczej - Microsoft już w piątek opublikował szczegółową charakterystykę wszystkich błędów. Poprawki jednak się nie pojawiły, a to znaczy, że koncern udostępnił informacje o nowych błędach, ale nie dał użytkownikom możliwości ich załatania. To sytuacja bez precedensu - do tej pory Microsoft nie zanotował podobnej wpadki. Aktualizacje nie pojawiły się w żadnym ze standardowych kanałów dystrybucyjnych, nie było ich ani w systemie Windows Update, ani na stronie koncernu.
Zobacz również:
- Nearby Sharing od Google - wygodny sposób na przesyłanie plików
- Historia aktualizacji Windowsa 11 - najważniejsze zmiany dla biznesu
Z opisów dowiedzieliśmy, że koncern zamierza załatać 15 luk w swoich produktach (wszystkie uznano za "ważne" - to drugi od góry stopień zagrożenia w skali Microsoftu). Dwie luki znajdują się w Windows, pięć w aplikacji MS Excel, dwie w dodatkach do MS Office, zaś sześć - w SharePoincie i powiązanym z nim oprogramowaniu (m.in. Groove oraz Office Web Apps).
Opublikowane w piątek opisy poprawek (tzw. biuletyny bezpieczeństwa) wydawały się kompletne - znajdowały się w nich wszystkie standardowe informacje, aczkolwiek w niektórych przypadkach widać, że pewne drobiazgi powinny zostać jeszcze poprawione.
Zdaniem specjalistów, Microsoft miał mimo wszystko sporo szczęścia - bo żaden z opisanych w biuletynach błędów nie jest na tyle poważny, by przestępcy mogli wykorzystać go do zmasowanego lub niestandardowego ataku na użytkowników Windows. "To raczej wpadka wizerunkowa, niż jakieś realne zagrożenie" - skomentował Andrew Storms, szef działu bezpieczeństwa firmy nCircle.
Storms dodał też, że rozsądnym działaniem ze strony koncernu byłoby w tej sytuacji wcześniejsze opublikowanie poprawek. Na razie jednak to nie nastąpiło - przedstawiciele Microsoftu usunęli przedwcześnie udostępnione biuletyny i do tej pory nie skomentowali tego incydentu. Niewykluczone, że trwają jeszcze testy niektórych aktualizacji.
"Realnego zagrożenia nie ma - same poprawki nie wyciekły, więc przestępcy nie są w stanie samodzielnie wykryć luk. Na dodatek aktualizacje nie usuwają z produktów koncernu szczególnie poważnych błędów, np. związanych ze zdalnym dostępem lub uruchomieniem kodu" - dodaje przedstawiciel nCircle.