2003. szeptember 10. 13:17, Szerda
Nem küszöböli ki az Internet Explorer egyik biztonsági rését az a javítófolt, amelyet a szoftveróriás augusztus 20-án adott ki, állítja az eEye Digital Security.
Az "objektum típus" biztonsági rést az eEye Digital Security fedezte fel az Internet Explorer webböngészőben mintegy 4 hónappal ezelőtt. A Microsoft augusztus 20-án adta ki a probléma javítását, amelyet 28-án egy módosított kiadás követett, mivel az ezedeti verzió bizonyos körülmények között problémákat okozott az operációs rendszerben. A javítófoltból az eEye szerint azonban még egy verzióra lesz szükség, mivel a mostani egyszerűen nem javítja ki a biztonsági rést.
A problémát az esetleges támadó egy megfelelően kialakított weboldalon keresztül használhatja ki abban az esetben, ha az oldalt a felhasználó az Internet Explorerrel böngészi. A Microsoft egyik képviselője szerint a társaság most vizsgálja az eEye jelentését, de ezidáig egyetlen bejelentés sem érkezett a felhasználóktól az esetleges hiba kihasználásáról. Az augusztus 28-án kiadott javítófoltot egyelőre nem veszi le weboldaláról a Microsoft, mivel a társaság szakértői még nem támasztották alá az eEye állításait, és a szoftveróriás továbbra is annak feltelepítésére sürgeti a felhasználókat.
Mint Marc Maiffret, az eEye egyik szakértője elmondta, a hiba jelentősége azért nagy, mert meglehetősen egyszerű annak kihasználása. "Azért súlyos a hiba, mert igen könnyű kihasználni. A támadónak nem kell tudnia, hogy kell kihasználni egy puffertúlcsordulási hibát, vagy hasonlót" - mondta Maiffret, aki szerint négy hónap alatt ennél jobb javítófoltot kellett volna készítenie a Microsoftnak.
"Úgy tűnik, komolyan veszik a biztonság kérdését, de nem fektetnek elég pénzt a szegmens javításába" - tette hozzá Maiffret, aki szerint a szoftveróriás nem rendelkezik elegendő, megfelelően képzett biztonsági szakértővel. A javítófoltban lévő hibát felfedező eEye szakértő szerint a Microsoft programozói óriási figyelmetlenséget követtek el a javítás írásakor. "Sok múlik, azon, hogy a megfelelő szakértőkkel rendelkezzen egy társaság. Vannak a Microsoftnál rendkívül jó képességű szakértők, de nem elegen" - folytatta Maiffret.
Az eEye szakértői egyébként átvizsgálták a Microsoft javítófoltját annak kiadása előtt, és semmi problémát nem vettek észre. Maiffret szerint ez az átvizsgálás azonban csak egy gyors ellenőrzés volt, és a részletes elemzés során fény derült a problémára.