Microsoft naraża użytkowników Mac OS X?

Znany specjalista ds. bezpieczeństwa Swa Frantzen twierdzi, że Microsoft naraził na niebezpieczeństwo użytkowników makowego wydania pakietu MS Office - ponieważ firma nie udostępniła im poprawek dla aplikacji MS PowerPoint (mimo iż takie poprawki dostali już użytkownicy Windows). Frantzen uważa też, że Microsoft postąpił tak samo, jak hakerzy udostępniający zbyt wcześnie informacje o lukach - których koncern zwykle ostro krytykuje.

Zdaniem Frantzena (analityka ds. bezpieczeństwa z działającego przy SANS Institute zespołu Internet Storm Center) udostępniając poprawki tylko części użytkowników MS Office postąpił dokładnie tak samo, jak haker, który wykrywa błąd w oprogramowaniu i nie czekając, aż producent go załata ogłasza swoje odkrycie światu. Innymi słowy - Microsoft udostępnił internetowym przestępcom informacje, które mogą zostać wykorzystane do atakowania użytkowników MS Office for Mac.

Warto wspomnieć, że Microsoft co prawda nie udostępnił szczegółowych informacji na temat luk w PowerPoincie - ale Swa Frantzen uważa, że przestępcy bez problemu rozpracują te luki analizując poprawki przygotowane przez koncern z Redmond.

"Microsoft jest firmą, która zwykle najgłośniej krzyczy, że informacje o błędach powinny być udostępniane odpowiedzialnie - oni zawsze domagają się mnóstwa czasu na usunięcie luk i żądają, by nikt przed przygotowaniem poprawek nie publikował szczegółowych opisów błędów. Ale to powinno działać we obie strony - Microsoft powinien stosować się do zasad, których przestrzegania wymaga od wszystkich dookoła" - napisał w blogu ISC Frantzen.

Zdaniem specjalisty, złamanie owych zasad polegało na tym, że Microsoft udostępnił poprawki dla PowerPointa tylko użytkownikom windowsowej wersji pakietu MS Office - mimo, iż te same błędy dotyczą także wydania dla Mac OS X. Na domiar złego przedstawiciele koncernu sami przyznali, że błąd występuje również w wersji makowej. Frantzen obawia się, że to zaowocuje szybkim pojawieniem się skutecznego exploita atakującego Mac OS X przez lukę w PowerPoincie. Obecnie takiego exploita jeszcze nie ma - Microsoft argumentował, że to właśnie dlatego postanowiono poczekać z załataniem wersji dla Mac OS X.

Specjalista opublikował nawet na stronie ISC ankietę, w której użytkownicy mogli wyrazić swoją opinię na temat działań Microsoftu - zdecydowana większość głosujących zgodziła się, że koncern postąpił nieodpowiedzialnie.

Ale inni specjaliści wspierają Microsoft - John Pescatore z firmy analitycznej Gartner mówi: "Microsoft postąpił słusznie - uważam, że najlepszym rozwiązaniem jest udostępnienie odpowiednio sprawdzonych poprawek dla produktów, które już są atakowane. Były tylko dwie inne możliwości: albo udostępnić od razu poprawki dla wszystkich platform, bez odpowiednich testów (i ryzykować pojawienie się problemów) albo zwlekać z ich udostępnieniem do czasu zakończenia wszystkich testów. Żadna z tych możliwości nie jest rozsądna".

Nieco ostrożniejszy jest Andrew Storms, szef działu bezpieczeństwa firmy nCircle Network Security: Nie sądzę, by Frantzen posunął się w krytyce za daleko - Microsoft rzeczywiście zawsze naciska na odpowiedzialne ogłaszanie informacji o lukach. Zgadzam się, że firma złamała w tym przypadku własne zasady. Ale z drugiej - ja też uważam, że koncern postąpił słusznie - choćby dlatego, że kod umożliwiający atakowanie windowsowego PowerPointa już od tygodni był dostępny w Sieci. Przerobienie go na exploita makowego nie jest szczególnie trudnym zadaniem - a mimo to nikt tego nie zrobił. Dlatego nie sądzę, by ktoś postanowił tworzyć exploita analizując poprawki dla Windows - bo niby czemu ktoś miałby wybierać trudniejszą metodą, skoro może sięgnąć po łatwiejszą?" - argumentuje Storms.

O najnowszym pakiecie uaktualnień dla produktów Microsoftu (zawierającym m.in. znaczącą aktualizację dla MS Office) pisaliśmy wczoraj w tekście "Microsoft: wielka poprawka dla PowerPointa".

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200