Softwaregiganten Microsoft er langt fra begejstret for, at det britiske sikkerhedsfirma Computer Terrorism i denne uge valgte at offentliggøre programkode, der viser, hvor let det er at udnytte et sikkerhedshul i Internet Explorer.
Sikkerhedshullet var kendt i forvejen, men var kun kategoriseret som en mindre trussel, fordi man ikke regnede med, at det kunne udnyttes blot ved et besøg på et usikkert websted.
Kodeeksemplet fra Computer Terrorism viste imidlertid, at sikkerhedshullet kunne udnyttes af hackere til at få fuld kontrol over systemet.
Nu kritiserer Microsoft derfor sikkerhedsfirmaet for at have brudt de uskrevne regler for håndtering af sikkerhedshuller.
- Microsoft er skuffet over, at visse sikkerhedseksperter har brudt den almindelige praksis i branchen og og offentliggjort demonstrationskode, som potentielt kan skade slutbrugerne, siger en Microsoft-talsmand til VNUnet.
Offentliggørelsen af kodeeksemplet fik blandt andet det danske sikkerhedsfirma Secunia til at hæve dets vurdering af sikkerhedshullet til "Ekstremt kritisk".
Normalt giver sikkerhedsfirmaer en softwareleverandør mindst tre måneder til at løse et sikkerhedsproblem, før detaljerne bliver offentliggjort.
Hos Computer Terrorism forsvarer man sig imidlertid med, at sikkerhedshullet blev offentligt kendt allerede i maj, men det blev dengang ikke vurderet til at være alvorligt.
- Det skulle aldrig have været vurderet til at være en lavrisiko-trussel. Da vi fandt ud af, at det kunne udnyttes, var vi chokerede over, hvor let det var, siger chefkonsulent Simon Robinson fra Computer Terrorism til VNUnet.
Selskabet valgte at afvige fra praksis og offentligøre dets fund, fordi man var overbevist om, at sikkerhedshullet allerede blev udnyttet på internettet.
- Dette tilfælde, hvor det var nødvendigt at hæve vurderingen af en kendt sårbarhed til højeste niveau er uden fortilfælde og krævede en afvigelse fra den normale praksis, siger Simon Robinson til VNUnet.
Microsoft har endnu ikke udsendt en sikkerhedsopdatering til sikkerhedshullet, der findes i de fleste versioner af Windows.
Sikkerhedsfirmaerne anbefaler, at man dels holder sig websteder, man ikke har tillid til, og dels kan man benytte en anden webbrowser eller slå JavaScript fra.
