Elgépelés miatt kritikus hiba az Internet Explorerben

Tegnap megérkezett az a javítás, amit hétfőn már beharangoztunk. Ismeretes, hogy napokkal korábban már tudni lehetett, hogy a héten, a megszokott menetrendtől eltérően fog kikerülni egy patch, mivel az Internet Explorerben nagyon súlyos biztonsági problémát okozott az a hiba, amit eltüntet az update. Nem véletlenül kapott kritikus fontosságú besorolást.

Ironikus, hogy – amint az nemrég kiderült – az egész hajcihőt egy elgépelés okozta. Az „&” jel tehető felelőssé a hibáért, illetve az a programozó, aki „rossz helyre tette”, olvasható Redmond Security Development Lifecycle (SDL) blogjában. Michael Howart, a Microsoft egyik IT-biztonsági programmenedzsere kifejtette, hogy az elgépelés miatt egy ActiveX vezérlő kódja sebezhetővé vált. A probléma gyökerét egészen pontosan egy korábbi kódrészletben kellett keresni, amelyben még nem okozott gondot; ám a forrás újrafelhasználása oda vezetett, hogy az elírás lehetővé tette nem megbízható adatok memóriába való írását. Ezt egy puffertúlcsordulásos támadás segítségével a támadók saját céljaikra használhatták (volna) fel.

Az IE-hez kiadott „sürgősségi” patch mellett a szintén érintett Visual Studio is javítást kapott. Ennek oka, hogy ez utóbbi szintén az Active Template Library (ATL) néven ismert kódot tartalmazta. A sebezhető rendszerek listája: Windows 2000, Windows XP, Vista, Windows Server 2003 és 2008, Internet Explorer 6, 7 és 8, Microsoft Visual Studio .NET 2003, Visual Studio 2005 és 2008, valamint Visual C++ 2005 és 2008.

Ha egy elgépelés volt, akkor lehet több is – és erre a Microsoft is rájött. Howard bejelentette, hogy a szoftverfejlesztő lépéseket tett a további, a fentivel analóg fenyegetések elkerülése végett. Redmond frissíteni fogja az ilyen hibák felkutatását segítő eszközöket, így nem kizárt, hogy a közeljövőben hasonló okokból problémás kódrészletek újabb javítására lehet számítani. A Microsoft emellett új szabályt is készül bevezetni a már meglévő, redmondi tulajdonú kódrészletek újrafelhasználását illetően – a programozóknak kötelező lesz a legújabb változat alkalmazása. Ezzel azt remélik, hogy minimálisra csökkennek a fenti esetek.

Patch Tuesday
Ismeretes, hogy a Microsoft minden hónap második keddjén jelenteti meg az Interneten legújabb biztonsági frissítéseit – már ha van mit. Az esetek többségében pedig van: az elmúlt években alig néhány olyan hónap volt összesen, amikor nem került ki patch a redmondi szoftverfejlesztőtől a Webre. Ettől a menetrendről tér el – már nem először – a vállalat a holnapra datált update-ekkel, melyek a Microsoft Update, a Windows Update és a Windows Server Update szolgáltatások révén kerülnek terjesztésre.