Ifølge data fra Microsofts Vulnerability Research Program frigivet denne uge, så har tredjepartsudviklere kun lukket 45 procent af de sikkerhedshuller, som Microsoft's sikkerhedsteam rapporterede til dem i løbet af 12 måneder fra juli 2009 til juni 2010.
Microsoft Vulnerability Research (MSVR) blev lanceret i August 2008. Microsofts sikkerhedsforskere rapporterer sikkerhedshuller, som de finder i tredjeparts software og koordinerer med andre virksomheder for at sikre, at detaljer om fejlene ikke bliver offentliggjort inden, der er sikkerhedspatches parat.
Mindre end halvdelen af sårbarheder lukkes
Selvom det er mindre end halvdelen af de rapporterede sikkerhedshuller, der er blevet lukket, anslår Microsoft en positiv tone i rapporten. Sammenligner man med det procentvise antal lukkede huller sidste år, er der nemlig tale om en markant forbedring.
"I juni 2009, da MSVR rundede sit første år, var det 13 procent af de identificerede sårbarheder fra de forrige 12 måneder, som var blevet lukket af leverandørerne," skriver Microsoft i rapporten og påpeger, at i år er den procentvise andel af lukkede patches mere end tredoblet til 45 procent.
Selvom der således er fremskridt, forsøger Microsoft at forklare, hvorfor mere end halvdelen af de rapporterede sårbarheder ikke er blevet lukket af leverandørerne.
"Sårbarhederne identificeret af MSVR har skyldtes low-level arkitektur-problemer, som ikke er nemme at løse, og leverandørerne kræver ofte meget tid til at udvikle en effektiv løsning og teste den ordentligt.."
Microsoft har ikke offentliggjort det aktuelle antal sårbarheder, som er identificeret men oplyser, at 97 procent af sårbarhederne kategoriseres som "critical" eller "important", hvilket er de to højeste trusselsvurderinger i Microsofts klassificeringssystem, som består af 4 kategorier.
I år har MSVR identificeret sårbarheder fra 19 leverandører, mens det sidste år drejede sig om 32 leverandører.
ATL-problem som case
Rapporten beskriver, hvordan sidste års sårbarhed i ATL-biblioteket som anvendes til udvikling af ActiveX-kontroller, egentlig blev håndteret.
Det giver et fascinerende, og også lidt foruroligende indblik i, hvordan samarbejdet mellem software-virksomheder om sårbarheder egentlig er organiseret.
Uformelle, private kontakter til sårbarhedsbekæmpelse
Der er tilsyneladende ikke etableret noget formelt samarbejde, hvis man skal gå efter rapportens beskrivelse af, hvordan Microsoft kontaktede tredjeparts-leverandører, som var berørt af ATL-sårbarheden.
Hvilken person skal kontaktes om sårbarhed?
"Hver leverandør har sin egen proces for håndtering af sårbarheder i leverandørens produkter, og det kan være en udfordring at identificere den rigtige person, som bør have besked om et vigtigt problem som ATL-problemet."
Så bare det at finde ud af, hvilken person Microsoft skulle tale med hos leverandørerne angående ATL-problemet var en udfordring.
ATL-problemet var en fejl, som fik sikkerhedsklokkerne til at bimle meget højt sidste sommer.
Læses mellem linierne i rapporten, blev samarbejdet mellem Microsoft og tredjepartsleverandørerne etableret ved hjælp af personlige kontakter.
"MSVR anvendte sit eksisterende tillidsforhold med andre leverandører og sårbarheds-teams, hvor teammedlemmer tog kontakt med deres bekendte og kollegaer i de organisationer og bad dem om kontakter og introduktioner, hvor det var nødvendigt."
Microsofts udredningsarbejde
Ifølge rapporten gjorde Microsoft en stor indsats for at sikre, at leverandørere, der benyttede det sårbare ATL-bibliotek og dermed udviklede sårbare ActiveX-kontroller, fik besked
Først identificerede Microsoft, hvilke leverandører som skulle kontaktes.
"MSVR oprettede en liste over leverandører, som var berørt af sårbarhederne. Det var ikke en lille opgave; mange software-leverandører og -udviklere anvender ATL og Visual Studio til at udvikle ActiveX-kontroller. Mange af dem kunne være berørt, og MSVR besluttede, at software som installeres som standard på Windows-baserede computere fra original equipment manufacturers (OEMs) skulle være øverst på listen. I alt blev 37 forskellige leverandører identificeret på en indledende liste."
En trediedel klar med patch ved offentliggørelse af sårbarhed
Herefter gik Microsoft igang med at kontakte leverandørerne, afholde telefonkonferencer med udviklere, udveksle kode og andre aktiviteter.
Efter at leverandørerne var blevet informeret og havde haft tid til at patche deres programmer, publicerede Microsoft information om sårbarheden.
På det tidspunkt havde 12 ud af de 37 leverandører på den oprindelige liste frigivet sikkerhedsopdateringer til håndtering af ATL-sårbarheden. Seks leverandører valgte at anvende en workaround kill bit, der kunne deaktivere sårbare ActiveX-kontroller.
