A Google ismét mattolta a Microsoftot

Megelégelte vetélytársának lassúságát a Google, és közzétette az IE egyik résének dokumentációját.

Szerző: Kristóf Csaba

2010. szeptember 08.

Nem először fordul elő az idén, hogy a Google munkatársai úgy tesznek közzé biztonsági résekről szóló információkat, hogy azt megelőzően a Microsoft még nem adta ki a sebezhetőségek megszüntetéséhez szükséges frissítéseket. Nyilvánvalóan a két cég ellentétesen ítéli meg a történteket, azonban annyi biztos, hogy már a korábbi véleményeltérések sem használtak a rendszerek biztonságának.

Az első vitát Tavis Ormandy, a Google biztonsági kutatójának bejelentése váltotta ki, ugyanis a szakember június elején közölte, hogy öt napot ad a Microsoft fejlesztőinek arra, hogy az általa felfedezett, a Windows Súgó és Támogatás Központjában található sérülékenységet megszüntesse. Kijelentette, hogy amennyiben ez nem történik meg, akkor nyilvánosságra hozza a jogosulatlan távoli rendszerhozzáférésekre lehetőséget adó sebezhetőség kihasználására alkalmas kódokat. A hibajavítás nyilván öt nap alatt nem készülhetett el, viszont Ormandy tartotta magát az ígéretéhez, és közzétette a kutatásának eredményeit.

A Google és a Microsoft közötti vita második felvonásához a múlt héten érkeztünk el, amikor Chris Evans, a Google mérnöke az egyik levelezőlistán egy olyan exploitot publikált, amely egy több éve létező sérülékenységre épül. Evans azzal indokolta a döntését, hogy megítélése szerint a Microsoft nem foglalkozott megfelelő módon a korábban tett, biztonsági hibával kapcsolatos bejelentésével. A múlt hét óta a Microsoft jelezte, hogy jelenleg is vizsgálja az Evans féle sérülékenységet, és egyelőre nem tud olyan sikeres támadásokról, amelyek ezt a biztonsági rést használták volna ki.

Chris Evans tulajdonképpen egy olyan, - ezúttal Internet Explorert érintő - sebezhetőségre hívta fel a figyelmet az akciójával, amelyről 2002-ben a Carnegie Mellon Egyetem kutatói már beszámoltak. Az úgynevezett "cross-origin CSS" sérülékenységről van szó, amely adatlopásokra, webes levelezőrendszerekhez használt hitelesítő információk kiszivárogtatására és akár kéretlen Twitter üzenetek küldésére is felhasználható.

A cross-origin CSS alapú sebezhetőségek igazán csak 2009 végén kaptak nagyobb figyelmet, amikor Evans közölte, hogy a sérülékenység megtalálható a Chrome böngészőben. Állítólag már nyolc hónappal a közleményének publikálása előtt jelezte a böngésző fejlesztőinek a hibával kapcsolatos észrevételeit, de a sérülékenység orvoslására csak idén januárban került sor. Aztán kiderült, hogy a sebezhetőség a Firefox, a Safari, az Opera valamint az Internet Explorer 8 böngészőkben is megtalálható. Ez utóbbi kivételével már az összesen sikerült befoltozniuk a fejlesztőknek a biztonsági rést. A Mozilla a rendellenességet a Firefox 3.6.7, illetve a Firefox 3.5.11 kiadásával szüntette meg.

A Microsoft egyelőre nem kívánt nyilatkozni azzal kapcsolatban, hogy az Internet Explorer 8-on kívül érintettek-e más verziók. Annyit lehet tudni, hogy a várhatóan szeptember 15-én megjelenő Internet Explorer 9 béta változata már nem tartalmazza a hibát. Viszont az továbbra is rejtély, hogy a jelenleg igencsak széles körben használt, 8-as verziójú böngészőre mikor kerülhet megfelelő folt. Az azonban biztos, hogy a biztonsági kutatóknak és a Microsoftnak mihamarabb dűlőre kell jutniuk a sérülékenységek megfelelő kezelését illetően, mert a jelenlegi helyzet nem szolgálja a rendszerek biztonságát.

A cikk testvéroldalunkon, a ComputerWorld biztonság rovatában jelent meg.