Computerworld News Service: Microsoft gik med livrem og seler, da virksomheden tirsdag lappede en fejl i Windows 7, som efter sigende ikke kan udnyttes.
Ud af de 11 sikkerhedsbulletiner, der blev frigivet tirsdag, så retter "Bulletin 7" en eller flere sårbarheder i Windows 2000, Windows XP og Windows Server 2003.
Men Microsoft tilbyder samme opdatering til brugerne af Windows Vista, Windows 7 og Windows Server 2008, trods det at virksomheden i sidste uge benægtede, at fejlene kunne udnyttes.
"Brugerne af Windows 7 bliver også tilbudt Bulletin 7 som en 'defense-in-depth' ('dybdegående forsvars')-opdatering, trods det at den [avancerede vejledning] fortæller, at problemet egentlig ikke påvirker Windows 7," siger Jerry Bryant, der er group manager ved Microsoft Security Response Center (MSRC), i en af flere e-mail om sagen.
"Det betyder, at den sårbare kode findes i softwaren, men på grund af den øgede indbyggede sikkerhed i Windows 7, så findes der ingen kendte vektorer, der kan nå den."
Med andre ord; sårbarheden findes - i Vista, Windows 7 og Server 2008 - men Microsoft ved ikke, hvordan den skulle kunne udnyttes.
Hellere være på den sikre side, siger sikkerhedseksperter.
"Absolut - det er en god ide at fikse den slags fejl," siger Andrew Storms, director of security operations ved nCircle Network Security.
"For bare et år siden kunne DEP [data execution prevention] og ASLR [address space layout randomization] klare næsten alle sårbarheder i Internet Explorer til Vista. Alligevel ser vi et stigende antal eksperter, der finder og udnytter sårbarheder i DEP. Og hvis det fortsætter på den måde, så vil vi komme til at værdsætte, at Microsoft retter den slags."
Wolfgang Kandek, der er teknologi-chef for sikkerheds- og compliance manager-virksomheden Qualys, er enig.
"Det kan helt sikkert anbefales at installere opdateringer til Windows 7, Server 2008 og Vista som en forebyggende handling," siger han.
"Vi har tidligere oplevet, hvordan angribere har udnyttet en kombination af sårbarheder til at opnå deres mål, senest under CanSecWest, hvor Peter Vreugdenhil udnyttede to fejl til først at komme omkring ASLR og derefter DEP, hvorefter han kunne hacke IE8."
Den hollandske freelancer vandt godt 55.000 kroner for sine hacker-færdigheder i sidste måned, under konkurrencen Pwn2Own.
Hans to-leddede angreb blev omtalt som "særligt imponerende," af arrangørerne, eftersom det kom omkring både DEP og ASLR, som er to af hjørnestenene i Vista og Windows 7's sikkerhed.
Spændende baggrund
Det er ikke første gang, Microsoft har rettet en urørlig fejl, bekræfter Jerry Bryant og nævner adskillige eksempler, blandt andet opdateringen MS09-032, der blev udsendt i juli 2009, og som deaktiverede en virksomhedsskabt ActiveX-control, som efter sigende ikke ville kunne udnyttes i hverken Vista eller Server 2008.
Tidligere har Microsoft udsendt MS09-015 i april 2009 og MS08-062 i oktober 2008, begge med udgangspunkt i samme defense-in-depth-forklaring.
"Det er typisk i situationer, hvor den sårbare kode eksisterer, men hvor systemet ikke har adgang til den," fortæller Jerry Bryant.
"Vi mener, at det er vigtigt, at vi hele tiden holder øje med, hvordan vi kan reducere den overordnede risiko, så kunderne vil også i fremtiden blive tilbudt defense-in-depth-opdateringer."
Andrew Storms fortæller, at Microsoft bare følger de allerede etablerede procedurer. "Det her har først og fremmest at gøre med mekanikken i Microsofts SDL ['software development lifecycle' eller 'livscyklus for softwareudvikling']," siger han.
"Der er blevet fundet og bekræftet en fejl, og den skal så fikses. Alle de understøttede platforme skal derefter have adgang til rettelsen, selv hvis det er usandsynligt, at en angriber vil udnytte den."
Bulletin 7 har en baggrundshistorie, der er mere interessant end de fleste. Microsoft tilbyder ikke alle detaljer, men der er noget, der tyder på, at Bulletin 7 er designet til at rette en fejl i VBScript.
I sidste måned udsendte virksomheden en vejledning, der advarede brugerne af Windows XP mod en fejl i script-sproget, og frarådede at trykke F1, hvis en hjemmeside beder om det.
Andrew Storms anerkender, at situationen må være forvirrende for brugerne, når Microsoft på en og samme tid siger, at fejlen ikke påvirker Vista, Windows 7 og Server 2008, men at brugerne skal installere opdateringen alligevel. Men man skal se det i et større perspektiv, mener han.
"[Microsoft] siger i virkeligheden, at for at et angreb skal virke, så er der mange lag, der skal skrælles af først, og at det gør en angreb usandsynligt," siger han. "Men Microsoft siger samtidig, at virksomheden er forpligtet til at rette fejlen."
Oversat af Marie Dyekjær Eriksen
