Biztonsági hibák sora a Microsoftnál

Tóth Kristóf, 2002. március 31. 21:14
Bill Gates, a redmondi szoftveróriás elnöke januárban bejelentette, hogy a társaság a jövőben minden erejével szoftvereinek biztonságossá tételén fog dolgozni. A jelek szerint azonban továbbra is van min javítani.
A Microsoft az elmúlt napokban kiadott egy újabb biztonsági javítást az Internet Explorer webböngésző programhoz, amely két potenciális veszélyforrást szüntet meg a szoftverben. Mindemellett a társaságnak azonban egy súlyos Windows NT/2000 biztonsági réssel is meg kell birkóznia.

A két kijavított IE-hiba egyike az úgynevezett cookie-kon keresztül lehetővé tette rosszindulatú programkód futtatását a felhasználó számítógépén. Mint ismeretes, a cookie-k olyan apró fájlok, amelyeket a weboldalak helyeznek el a felhasználó számítógépén bizonyos információk tárolására. A napokban kiadott javítófoltban kijavított hiba lehetővé tette, hogy cookie-kba ágyazott rosszindulatú kód, például vírus kerüljön a felhasználó számítógépére.

A második Internet Explorer-hiba lehetővé tette, hogy egy rosszindulatú programozó egy, a weboldalban elrejtett kód segítségével különböző, a felhasználó számítógépén található programokat futtasson le. A Microsoft mindkét hibát kritikusnak találta, és nyomatékosan kéri az IE 5-ös és újabb verzióit alkalmazó felhasználókat a javítófolt mielőbbi letöltésére.

A szoftveróriás jelenleg nem rendelkezik javítással arra a Windows NT/2000 biztonsági hibára, amely az elmúlt napokban komoly nyilvánosságot kapott. Az operációs rendszerek szoftver-hibakereső (debugger) programjának biztosági problémája lehetővé teszi, hogy illetéktelenek bármilyen jogot megszerezzenek a két operációs rendszer valamelyikét futtató szerveren. A hackerek ezután gyakorlatilag bármit megtehetnek az adott rendszerrel.

A számítógépes biztonsági kérdésekkel foglalkozó szakértők körében a probléma már március közepe óta ismert volt, a nyilvánosság azonban csak a napokban szerzett tudomást a súlyos biztonsági problémáról. Chad Harrington, az Entercept biztonsági szakértője úgy véli, a probléma közepes veszélyességű, mert a jogok megszerzését nem lehet interneten keresztül megoldani, hanem a behatolónak személyesen hozzá kell férnie a szerverhez.

A szakértő szerint általában nem célszerű nyilvánosságra hozni egy efféle hibát, amíg a szoftvercég ki nem adja hozzá a javítást. A mostani elmondása szerint azonban különleges eset, mert a hackerek már jó ideje tudnak a biztonsági résről.

A Microsoft jelenleg dolgozik a hibát orvosló javításon, amely remélhetőleg minél hamarabb elérhetővé válik. A mostani problémák rámutattak, hogy a társaság előtt még hosszú út áll, mielőtt szoftverei teljesen biztonságosak lesznek.