Microsoft: przeoczyliśmy lukę w Internet Explorerze, bo...
Programiści koncernu z Redmond przeoczyli "krytyczną" lukę w przeglądarce internetowej ponieważ nie byli odpowiednio przeszkoleni, jak również nie posiadali odpowiednich narzędzi do testowania oprogramowania. W ten sposób Microsoft tłumaczy fakt, że groźna luka w Internet Explorerze przez co najmniej dziewięć lat uchodziła uwadze pracowników firmy.
23.12.2008 | aktual.: 23.12.2008 12:20
Przypomnijmy, że luka, o którą chodzi, wywołała w ostatnim czasie wiele zamieszania, dotyczyła bowiem Internet Explorera w wersjach 5, 6, 7 i 8 beta. Problem związany był z funkcją "Data binding" przeglądarki (jest ona domyślnie aktywna i w pewnych warunkach możliwe jest nieprawidłowe zwolnienie obiektu, co pozwala na uzyskanie dostępu do przypisanego do niego obszaru pamięci). To może sprawić, że Internet Explorer niespodziewanie się wyłączy i można będzie to wykorzystać do uruchomienia złośliwego kodu. Problem okazał się na tyle poważny, że ratunkowy patch dla IE7 został wydany przez Microsoft poza normalnym cyklem aktualizacji - 17 grudnia.
Wkrótce potem Michael Howard, menedżer ds. bezpieczeństwa w Microsofcie, na blogu Security Development Lifecycle, wyjawił, że luki nie znaleziono wcześniej z powodu niewystarczającego przygotowania programistów.
"Błędy związane z pamięcią są trudne do znalezienia w procesie sprawdzania kodu. Szkolimy ludzi o błędach TOCTOU, o błędach związanych z nadpisywaniem obszaru pamięci i o kwestiach związanych ze zwolnionymi blokami pamięci, jednakże nie uczymy o kwestiach TOCTOU związanych z pamięcią" - czytamy w blogu przedstawiciela Microsoftu. Howard dodaje, że narzędzia diagnostyczne, w tym tzw. fuzzery (aplikacje generujące dane wejściowe na podstawie których badane jest działanie przeglądarki) również nie były przygotowane na wystąpienie wspomnianej luki.
Howard spekuluje także, że luka mogła zostać wykryta przez hakerów wyposażonych we własne "fuzzery". Konstatuje on również, że opisywana luka to świetne potwierdzenie tezy, wg której nie da się stworzyć kodu w 100 procentach poprawnego i bezpiecznego. "Jeśli płynie z tego jakaś nauka, to taka, że my jako przemysł tworzący oprogramowanie, musimy mocniej starać się o to, aby aplikacje lepiej wykorzystywały mechanizmy zabezpieczeń wbudowane w Windows" - dodaje Howard.