Computerworld News Service: På trods af rygterne, er det sikkerhedshul, som Microsoft uventet lukkede i sidste uge, ikke tæt relateret til et andet, som virksomheden lukkede for over to år siden, påpeger en sikkerhedsekspert fra Microsoft.
Sårbarheden i Windows Server-tjenesten, som Microsoft fjernede med en opdatering uden for sin normale opdateringscyklus sidste torsdag har ingen forbindelse til et andet sikkerhedshul i den samme tjeneste, som virksomheden lukkede i august 2006 ifølge Michael Howard, som er leder af sikkerhed hos Microsoft.
Michael Howard, som måske er bedst kendt for at være medforfatter til bogen Writing Secure Code, arbejder i security development lifecycle-gruppen hos Microsoft. Security development lifecycle (SDL) er det, Microsoft kalder den proces, virksomheden bruger, til at skabe mere sikkert software.
"Jeg har brugt en god bid af mandag på at gennemgå analysen af disse fejl," fortæller Michael Howard.
"De to fejl er faktisk ret forskellige. Selvom konsekvensen er den samme, så er måden de kan udnyttes på meget forskellig."
Svært at finde fejlen
De to sårbarheder er så forskellige, tilføjer han, at det ikke er nogen overraskelse, at virksomhedens udviklere ikke fandt den sidste, da de gik koden fra Windows Server-tjenesten igennem for to år siden i forbindelse med den første fejl.
"Dette er en fejl, der er virkelig svær at finde," fremhæver Michael Howard.
Microsoft opdaterede Windows Server-tjenesten i august 2006 med security bulletinen med navnet MS06-040. Ligesom den, der blev udsendt i torsdags peger denne security bulletin på remote procedure call-koden, som sikkerhedshullets arnested.
Michael Howard understøtter sit synspunkt om, at den aktuelle fejl var svær at finde, ved at citere en Twitter-meddelelse fra fremtrædende uafhængige sikkerhedsanalytiker Alexander Sotirov:
"Jeg havde den sårbare funktion dekompileret og fuldt ud kommenteret tilbage i 2006, da jeg vendte vrangen ud på MS06-040, men jeg fandt simpelthen ikke denne sårbarhed," skrev Sotirov, som var en ud af to sikkerhedseksperter, der hjalp Shane Macaulay med at hacke Windows Vista SP1 i en konkurrence i marts.
Michael Howard erkender, at dele af Microsofts SDL-proces har fejlet, særligt de såkaldte "fuzz-test", som berørt kode udsættes for. Men han forholdte sig generelt positiv til, hvor godt SDL fungerer.
"I sidste ende er jeg ikke utilfreds med SDL-processens præstation. Vi har to mål. Det ene er at nedsætte antallet af sårbarheder, og det andet er at nedsætte alvorsgraden af de, vi overser. Man kommer aldrig til at få alting med. Brugere af Windows Vista og Windows Server 2008 blev beskyttet. Det lykkedes SDL at nedsætte sårbarhedens alvorsgrad for de to styresystemer."
"Så jeg mener, at SDL faktisk var en succes her," forklarer Michael Howard.
Oversat af Thomas Bøndergaard
