Ktoś inny łata, a Microsoft czeka
Grupa programistów o nazwie ZERT wyręczyła Microsoft i udostępniła łatkę na wykrytą kilka dni temu, groźną lukę w bibliotece obsługującej VML. Firma z Redmond docenia trud programistów ZERT, ale instalacji łatki nie zaleca. Jednocześnie nadal nie chce się pośpieszyć z wydaniem swojej.
Luka w VML, wykryta przez firmę Sunbelt, okazała się już niebezpieczna dla użytkowników IE i może stanowić niezwykle poważne zagrożenie dla użytkowników programu pocztowego Outlook. Firma Sophos doniosła już o trzech, bardzo niebezpiecznych trojanach, które wykorzystują ją do ataków.
Grupa ZERT, która udostępniła łatkę na tę lukę, została założona niedawno i stawia sobie za zadanie dostarczanie łatek na te luki, na które nie ma jeszcze łatki producenta oprogramowania. W ZERT działają ponoć wysokiej klasy specjaliści, którzy jednak wolą zachować anonimowość.
Microsoft nie zaleca instalowania łatki ZERT i każe czekać do 10 października. Inni dostawcy zabezpieczeń nie wiedzą co doradzić użytkownikom oprogramowania Microsoftu.
Problem w tym, że właściwie nikt nie poręczy za metodę, dzięki której łatka ZERT powstrzymuje ataki za pomocą luki w obsłudze VML. Jest to rozwiązanie niepewne, pod którym podpisała się anonimowa grupa programistów. Z drugiej strony Microsoft nie zaproponował żadnego rozwiązania, a jedynie sposoby na chwilowe obejście problemu (wyłączyć podgląd w HTML w Outlook, unikać nieznanych stron itd.).
Wszyscy (z wyjątkiem Microsoftu) są pewni co do jednego - miesięczny cykl łatania systemu Windows nie sprawdza się w sytuacjach nagłego wykrycia bardzo groźnej luki (szczególnie jeśli ta luka pojawiła się krótko po ostatnim łataniu). Coraz większa liczba specjalistów głośno mówi, że Microsoft musi zmienić swoje podejście do kwestii bezpieczeństwa. Da się również zauważyć, że coraz częściej specjaliści radzą po prostu korzystanie z oprogramowania innych producentów.