29

Jak to Google wyzywa Microsoft na pojedynek w łataniu luk…

Nie jestem fanem kopania się po tyłkach – także w przypadku wielkich korporacji. Microsoft napominałem o tym, by nie policzkował Apple, które nie może się bronić w takich sytuacjach, teraz błotem oberwał Microsoft… w sumie trochę na własne życzenie. W Redmond nie wyrobiono się z załataniem luki w zabezpieczeniach, odkrytej przez forshaw’a – członka Projektu […]

Nie jestem fanem kopania się po tyłkach – także w przypadku wielkich korporacji. Microsoft napominałem o tym, by nie policzkował Apple, które nie może się bronić w takich sytuacjach, teraz błotem oberwał Microsoft… w sumie trochę na własne życzenie. W Redmond nie wyrobiono się z załataniem luki w zabezpieczeniach, odkrytej przez forshaw’a – członka Projektu Zero w Google.

Forshaw odkrył lukę, która pozwala na uzyskanie praw administratora w najnowszej odsłonie okienek – Windows 8.1. Błąd zawarty w NtApphelpCacheControl pozwala na uruchomienie procesu na prawach administratora dzięki błędnemu sprawdzeniu uprawnień użytkownika, który operuje funkcją. Odkryca nie zrobił tak, jak Ormandy, który od razu opublikował 0-daye – dał Microsoftowi 90 dni na załatanie luki… czas się skończył. Luka istnieje.

google-logo

Jestem dziwnie spokojny o to, że w następnym terminie wydawania poprawek (a jest to 13 stycznia) Microsoft opublikuje potrzebną łatkę i na tym sprawa się skończy. Mnie jednak zastanawia co innego. Po co w ogóle robić festiwal łatania na czas? Luki zdarzają się każdemu – ważne jest jedynie to, kto zdoła ją wychwycić. Stąd robienie z tego wielkiego halo, wzywanie do pojedynku i trzymanie luki jako zakładnika to dla mnie kompletny bezsens. Wygląda to tak, jakby ktoś komuś chciał coś udowodnić.

Microsoft zapowiedział już, że aktualnie luka jest łatana, co właściwie potwierdza, że w najbliższym rzucie poprawek do oprogramowania Microsoftu znajdziemy lekarstwo na tę bolączkę. Czy było to poważne zagrożenie? Cóż, nigdy nie zwykłem bagatelizować zagrożeń płynących ze strony dziurawego oprogramowania, jednak fakt, iż operacji nie da się wykonać zdalnie pozwala mi stwierdzić, że nie jest tak źle, jak mogłoby być.

Już wolę, by producenci ścigali się w tworzeniu coraz lepszych i ciekawszych rozwiązań – wojenki o błędy średnio mnie interesują.

Grafika: 1, 2

Źródło: TheVerge