Microsoft nie planuje załatania luk bezpieczeństwa w protokole TCP/IP nie tylko w przestarzałym Windows 2000, który notabene ma być wspierany do lipca 2010 roku. Odpowiedniej łatki nie doczekają się również użytkownicy Windows XP, który cieszy się niesłabnącą popularnością, wyprzedzając w rankingach nowsze edycje.

W ubiegły wtorek Microsoft opublikował poprawkę usuwającą trzy luki w zabezpieczeniach przetwarzania protokołu TCP/IP (biuletyn MS09-048). Wśród systemów podatnych na ich wykorzystanie znalazły się Windows Vista i Windows Server 2008, w których mogło dojść do zdalnego wykonania kodu. W przypadku systemów Windows 2000 z dodatkiem SP4 i Windows Server 2003 wykryte usterki umożliwiały atak typu DoS (ang. Denial of Service - odmowa usługi).

Od początku było wiadomo, że użytkownicy najstarszej z wymienionych wersji nie dostaną poprawki. Zdaniem Microsoftu stworzenie patcha likwidującego opisane luki wymagałoby zmiany architektury bardzo dużej części systemu Windows 2000. Powstały w rezultacie produkt byłby do tego stopnia niezgodny z systemem, że po aktualizacji nie można byłoby zagwarantować dalszego działania zaprojektowanych dla niego aplikacji - czytamy w biuletynie bezpieczeństwa.

Gregg Keizer z serwisu Computerworld w artykule pt. Microsoft: No TCP/IP patches for you, XP zwrócił uwagę także na brak łatki dla Windows XP. Gigant z Redmond poinformował, że domyślnie w systemach Windows XP z dodatkiem Service Pack 2, Windows XP z dodatkiem Service Pack 3 oraz Windows XP Professional x64 Edition z dodatkiem Service Pack 2 nie ma usługi nasłuchiwania skonfigurowanej w zaporze klienta i dlatego ta luka ich nie dotyczy.

Warto jednak zauważyć, że nie wszyscy używają wbudowanego w system firewalla, a jeśli już z niego korzystają, to zdarza im się zmieniać domyślną konfigurację. W pełni zabezpieczeni mogą czuć się tylko ci, którzy blokują cały ruch przychodzący.

Z webcastu opublikowanego przez specjalistów Microsoft Security Response Center - Adriana Stone'a i Jerry'ego Bryanta - wynika, że podatny na atak kod liczy sobie już 12-15 lat, a jego załatanie jest zasadniczo niewykonalne. Redaktor Computerworld przypomniał, że w podobny sposób Microsoft motywował brak poprawki dla systemu Windows NT 4.0 w marcu 2003 roku. Nie usunięto wówczas luki w programie mapowania punktów końcowych wywołań RPC, która - tak jak opisane wyżej - umożliwiała atak typu DoS.