Microsoft было известно о критической ошибке в IE ещё в начале 2008 года

   Компания Microsoft подтвердила, что она знала об ошибке в Internet Explorer, позволяющей проникать на компьютер пользователя, больше года, и за это время так и не устранила эту ошибку. Майк Риви (Mike Reavey), менеджер по продуктам безопасности Microsoft, сообщил, что производитель первый раз получил сведения о критической ошибке в ActiveX Control в начале весны 2008 года. Эта ошибка может быть использована при работе в браузере IE6 или IE7 под операционной системой Windows XP. Исследователи Райан Смит (Ryan Smith) и Алекс Уилер (Alex Wheeler) сообщили об этой ошибке компании Microsoft, обнаружив её в процессе совместной работы над IBM ISS X-Force, в конце 2007 года. В настоящее время Смит является экспертом по безопасности в VeriSign iDefense, а Уилер управляет подразделением 3Com, TippingPoint DVLabs. Несмотря на то, что Смит и Уилер не сказали точную дату отправки сообщения об ошибке, её номер в списке CVE (Common Vulnerabilities and Exposures) указывает на начало 2008 года.

   С тех пор прошло 16-18 месяцев, а воз и ныне там. Это слишком продолжительное время отсутствия патча для такой серьёзной уязвимости, даже если учесть вечную заторможенность Microsoft. Джон Пескатор (John Pescatore), аналитик независимого агентства Gartner, сказал, что "это не просто неприемлемые сроки. Это не должно занимать год, тем более у такой компании, как Microsoft. Очень трудно представить такие технические причины, по которым это может занять 18 месяцев, срок, сравнимый со временем, потребовавшимся на создание Windows 7. Это означает, что должны быть другие причины, связанные с бизнесом, или продуктами, или приоритетом. Но это должны быть очень серьёзные причины".

   "Мы начали наше расследование, как только узнали об уязвимости," ─ возражает Риви. ─ "Когда появляется сообщение об уязвимости, мы не только смотрим на него, но также изучаем другие вопросы, связанные с обеспечением защиты, насколько это возможно." Однако, срок в 16-18 месяцев, безусловно, выше среднего, и Риви с этим согласен. "Такой срок не является нормой," ─ сказал он. ─ "Подавляющее большинство уязвимостей пропатчено после первой же атаки."

   Что же тогда заняло так много времени?

   Хотя Риви отказался дать конкретные сведения, Смит, один из исследователей, которые сообщили об уязвимости, сделал весьма правдоподобное предположение. "Характер этого изъяна является в своём роде уникальным," ─ сказал он. ─ "Механизм ошибки такого сорта уникален. Именно эти уникальные качества и требуют больше времени, чем, как правило, требуется Microsoft." Смит отказался критиковать Microsoft за долгое отсутствие патча. "Всё время они рассказывали мне, насколько далеко они продвинулись," ─ сказал он о группе Microsoft, работающей над патчами безопасности. ─ "Они сообщали мне каждый раз при достижении важного этапа при исправлении". Тем не менее, он признался, что было бы лучше быстро исправлять ошибки. "Каждый исследователь безопасности хочет видеть патч на следующий день после того, как он сообщил об ошибке," ─ сказал Смит.

   Компания Microsoft всё ещё не завершила работу над заплаткой, признался Риви. "Мы представим то, что будет блокировать все известные атаки, на следующей неделе," ─ сказал он, добавив, что патч выйдет во вторник, 14 июля, когда Microsoft выпустит своё ежемесячное обновление безопасности. Но это будет не полноценный патч. То, что будет выпущено на следующей неделе, будет переопределять 45 "бит-убийц" в реестре Windows, отключая таким образом элемент управления ActiveX. В понедельник Microsoft опубликовала инструмент, который может сделать то же самое, но, в отличие от обновления безопасности, этот инструмент требует активного участия пользователя при использовании его для каждого компьютера. "Это просто нереально для предприятий," ─ сказал Пескатор. ─ "Это чересчур строгое требование, и, конечно, с этим не справится, скажем, Procter&Gamble".

   И Смит, и Риви сказали, что исправление реестра могло бы быть произведено и раньше. "Они его сделали, но они хотели бы предоставить патч получше," ─ говорит Смит. Риви же сказал, что Microsoft обычно предоставляет пользователям комплексное решение, а не автоматизированный обход вроде того, который будет выпущен на следующей неделе. Он также отрицал, что Microsoft было известно о нападении в прошлом месяце. X-Force заявила, что нападения были зарегистрированы еще 11 июня. Однако представители Microsoft говорят, что им стало известно о нападениях с использованием ошибки в Internet Explorer только 5 июля, за день до того, как была выпущена заплатка, и что после нападения работа над патчем была ускорена.

   Крупнейший производитель программного обеспечения также отрицает, что информация об уязвимости могла быть получена хакерами из-за утечки в Microsoft в течение последних 16-18 месяцев. По словам представителей компании, Microsoft не делится любой информацией об уязвимости с партнерами до выпуска патча. Уязвимость в ActiveX используется для проникновения на компьютер пользователя при посещении сайта с определённым вредоносным кодом. Количество таких сайтов за последние дни резко выросло, и уже по некоторым данным исчисляется миллионами.

   Риви сказал, что когда-нибудь Microsoft выпустит настоящий патч этой уязвимости. Он отказался сообщить, будет ли этот патч включён в ежемесячное обновление, или будет выпущен в качестве экстренного.