Windows: A túl korán kiadott figyelmeztetés esete

A Windows XP első javítócsomagjával, illetve a Windows 2000 SP4-gyel rendelkező operációs rendszerek érintettek abban a sebezhetőségben, melynek létére a múlt hét csütörtökön derült fény. Stepchen Manzuik, az eEye Digital Security nevű, IT-biztonsággal foglalkozó cég egyik termékmenedzsere – annak ellenére, hogy a hiba révén denial of service támadásnak eshetnek áldozatul a PC-k – mérsékeltnek minősítette a sérülékenységet. „Egy tízes skálán olyan 4-5 körüli értéket érne el.” – mondta a szakember. Ezt azzal indokolta, hogy míg Windows 2000 alatt automatikusan kiaknázható a hiba, legyen bármilyen service pack is feltelepítve az operációs rendszerre, addig a sokkal elterjedtebb Windows XP esetében már aktív felhasználói beavatkozásra is szükség van a hiba sikeres kihasználásához. És még Windows 2000 esetében is jogot kell szerezni a távoli hozzáféréshez RPC porton keresztül, ezt pedig legtöbbször tűzfallal védik a szervezetek.

Egyelőre még nem rendelkezik javítással a Microsoft erre a hibára, de a szoftverfejlesztő kiadott egy úgynevezett advisory-t, azaz tanácsot, amit a veszélyeztetett felhasználók számára érdemes megfogadni. Eszerint az internetezőknek engedélyezniük kell tűzfalaikat és ajánlott letölteni a patch-eket – melyek között remélhetőleg nemsokára ennek a hibának a javítása is meglesz.

Az FrSIRT weboldalán közzétett információk szerint a hiba kihasználásának módját Winny Thomas tette közzé, aki a Nevis Labs-nál, Indiában dolgozik. Thomas úgy talált új hibát az operációs rendszerben, hogy visszafejtette a Microsoft által októberben kiadott, MS05-047 jelzésű patch-ét. A redmondi szoftverfejlesztő mindazonáltal igyekezett kijelenteni, hogy az ominózus patch maga nem jelent veszélyt, új sebezhetőséget nem ad a rendszerhez, annak telepítése minden érintett számára ajánlott.

Emellett a vállalat ismét felemelte a szavát a túl korán nyilvánosságra hozott sebezhetőség-leírásokkal szemben; ha ugyanis a sérülékenységek kihasználásának módja még azelőtt jelenik meg a Világhálón, hogy arra a fejlesztő ki tudná adni a javítást, jócskán megnőhet egy (vagy több) olyan automatikus (például féregalapú) fenyegetés létrejötte, ami védhetetlen vagy legalábbis nehezen és kényelmetlenül kikerülhető problémát jelent(het) a felhasználóknak. Egyes kutatók azonban úgy vélekednek, hogy a Microsoftnak már lett volna lehetősége kiadni a javítást, mivel legalább 200 nap eltelt azóta, hogy figyelmeztették a Winny Thomas által (is) felfedezett hibára.