Sok vagy kevés? 200 nap egy kritikus sebezhetőség javítására

A több mint hat hónapig tartó patch-fejlesztés minden bizonnyal Redmond egyik legtovább tartó ilyen irányú cselekedete, mióta Bill Gates két éve bejelentette a Megbízható Számítástechnika (Trustworthy Computing) kezdeményezését. Egy ilyen hosszúra nyúló eljárás kétségeket ébreszt az emberben, mennyire lehet sikeres a biztonság előtérbe helyezésének projektje, mondta Marc Maiffret, az IT-biztonsággal foglalkozó eEye Digital Security egyik vezető beosztású munkatársa. ˝Ha valóban ilyen sokáig tart a javítás létrehozása és tesztelése, akkor más problémáik is lehetnek. Egy szoftverfejlesztő vállalatnak nem így kellene működnie.˝ – vélekedett Maiffret.

A negatív kritika a múlt héten kiadott, a Windows NT, 2000, XP és Server 2003 operációs rendszerek általános hálózati elemében található sebezhetőség (828028) javításának megjelenésével erősödött fel. A sebezhetőség ugyanis lehetővé teszi egy támadó számára, hogy a fenti Windows rendszereket futtató számítógépek bármelyikébe behatolhassanak, illetve hogy erre alapozottan egy olyan férget hozzanak létre, amely elterjedtség szempontjából a Blasterrel és a Mydoommal vetekedhetne.

Maga az eEye egyébként még tavaly július 25-én értesítette a Microsoftot ezen hiba létezéséről – először. Másodszor szeptember 25-én, azaz az eredeti bejelentést követő két hónap múlva hívták fel ismét Redmond figyelmét erre a hibára, a javítás azonban ezt követően sem született meg. Hozzávetőleg 200 napnak kellett eltelnie, hogy a patch kikerülhessen az Internetre.

Megszólal a másik oldal

Jeff Jones, a Trustworthy Computing vezérigazgatója a mundér becsületét védte. Közölte, hogy a patch kiadásáig tartó folyamat minden hibánál más és más ideig tart, függően az egyes lépések időhosszától. ˝Ha az lenne a célunk, hogy mindent kiadjunk 30 vagy 60 nap alatt, akkor meg tudnánk tenni. De mi minőségi patch-et akarunk az Interneten közreadni.˝

Más, IT-biztonsággal foglalkozó kutatók is a Microsoft mellé álltak a kérdésben, miszerint az, hogy 200 napig tartott a javítás elkészítése, nem utal semmilyen problémára a cégnél. Chris Wysopal, az @Stake kutatásért és fejlesztésért felelős részlegének elnöke a következőképp nyilatkozott: ˝Bármennyi időt is vesz igénybe valaminek a javítása, mindig lehet azzal érvelni, hogy azt gyorsabban is meg lehetett volna tenni. Ez a sebezhetőség kétséget kizáróan többhónapnyi figyelmet igényelt, hiszen az operációs rendszerek széles skáláját érintette, valamint számos nagy alkalmazást is le kellett tesztelni ezzel kapcsolatban.˝

Stephen Toulouse, a Microsoft Security Response Centerének vezető programmenedzsere az esettel kapcsolatban kijelentette, hogy azért volt szükség ilyen hosszú időre a patch megjelenéséig, mert egy ilyen elterjedt technológia javításához, mint az ASN.1, nagyon körültekintően lehet csak hozzáfogni. ˝Az ASN.1 egy igazán mélyre nyúló technológia a Windows-ban. Ennek vizsgálata ezért számtalan különböző aspektusból kellett, hogy megtörténjen.˝