Computerworld News Service: En sikkerhedsanalytiker kritiserer Microsoft for at gøre præcis det, virksomheden i årevis har været ude efter hackerne for: selskabet tilbyder informationer, der kan bruges til at overtage computere, inden de nødvendige opdateringer er klar.
Swa Frantzen, analytiker hos SANS-instituttets Internet Storm Center (ISC), kritiserer Microsoft for, at selskabet tidligere på ugen frigav opdateringer, der skulle fikse Windows-versionen af Powerpoint, mens de opdateringer, der skal rette den samme fejl i Mac, ikke vil blive frigivet før engang i juni.
"Microsoft er det af de store firmaer, der råber højest, når talen falder på 'responsible disclosure'," skrev Swa Frantzen i et indlæg på ISC-bloggen i tirsdags.
Bryder egen politik
Responsible disclosure er en politik, som Microsoft har kæmpet hårdt for, og som bestemmer, at udviklere ikke må fortælle om fejl, før der er en opdatering på plads.
"De vil have ubegrænset tid til at udvikle deres opdateringer, og dem, som fandt fejlen, må pænt vente med offentliggørelsen," siger Swa Frantzen.
"Men det virker begge veje: Du må selv overholde reglerne, hvis du forlanger det samme af andre."
Swa Frantzen mener, at Microsoft brød sine egne regler, da selskabet afslørede, at Office til Mac 2004 og Office til Mac 2009 indeholder tre sårbarheder, som ikke er blevet løst endnu ved at offentliggøre informationerne om selv samme sårbarheder i Windows.
Disse oplysninger kan, fortæller han, udnyttes af hackere til at udvikle malware rettet imod Mac.
"Vi ved alle sammen godt, at når opdateringer bliver udnyttet til udviklingen af malware, så begynder det på det tidspunkt - hvis ikke før - opdateringerne blive offentliggjorte," siger Swa Frantzen. "Så alt i alt har Microsoft lige givet hackerne alt, hvad de skal bruge til at planlægge et angreb."
På bloggen gennemførte Swa Frantzen desuden en bruger-undersøgelse, der viste, at 47 procent var enige i, at Microsoft havde handlet forkert, mens cirka 24 procent mente, at Microsofts beslutning var den bedste.
Delte meninger om Microsoft
John Prescatore, som er analytiker for Gartner, er enig med minoriteten.
"Jeg synes, Microsoft handlede rigtigt her," fortæller han i en e-mail. "Jeg foretrækker, at de solide, veltestede opdateringer til de mest alvorlige sårbarheder - altså dem, hvor der allerede findes aktive exploits - kommer ud først, i stedet for at man enten venter på, at alle versioner kan rettes samtidigt, eller udsender halvfærdige opdateringer, der skal rettes igen senere."
Andrew Storms, der er sikkerhedschef hos nCircle Network Security, står et sted midt mellem de to andre.
"Jeg synes egentligt ikke, at [Franzten] går for vidt. Microsoft er blevet synonym med 'responsible disclosure'-politikken, både i forhold til selskabets markedsføring, og på den måde, at det rent faktisk er lykkedes for virksomheden, at få analytikerne til at overholde den," siger han. "Man bryder ikke sit eget mantra."
"Alligevel er jeg uenig med ham," fortsætter Andrew Storms, "alene fordi proof-of-concept-koden allerede har været ude i en måned."
Når nu der ikke er nogen, der i løbet af den sidste måned har brugt prøvekoden til at udvikle en exploit til Mac, så mener Andrew Storms at det er højst usandsynligt, at der er nogen, der vil bruge den ekstra tid på at analysere Windows-opdateringerne for at gennemskue sårbarhederne og på den måde udvikle en exploit til Mac.
"Hvorfor skulle nogen vælge den lange vej, når nu de kunne have taget den korte?"
Microsoft kunne ikke umiddelbart finde en medarbejder i deres security response center, der kunne tale virksomhedens sag i 'responsible disclosure'-debatten, men selskabet gav i går en forklaring på, hvorfor Powerpoint-opdateringen kun blev frigivet til Windows, mens den manglede til Mac OS X.
"Ingen af de [Powerpoint] exploits, vi har analyseret, kan bruges mod Mac-versionen, så vi ville ikke tilbageholde Windows-opdateringerne, mens vi ventede på Mac-pakken," skrev Jonathan Ness, som er ingeniør hos Microsoft Security Response Center, et indlæg på firmaets officielle blog.
Oversat af Marie Dyekjær Eriksen
