Kolejny raz okazało się, że stosowana przez Microsoft polityka udostępniania łatek jest po prostu zła. Nie tylko dlatego, że ukazują się one zaledwie raz w miesiącu. Zgłaszane błędy są usuwane z wielomiesięcznym opóźnieniem albo wcale, zwłaszcza w sytuacji, gdy ich odkrywca - w trosce o bezpieczeństwo użytkowników - nie upublicznia szczegółów znalezionych luk. Przekonał się o tym ostatnio Michał "lcamtuf" Zalewski, autor świeżo udostępnionego narzędzia cross_fuzz, z pomocą którego udało mu się znaleźć około setki dziur w różnych przeglądarkach.

Znany na całym świecie polski specjalista ds. bezpieczeństwa, obecnie pracownik Google'a, udostępnił cross_fuzza w pierwszy dzień nowego roku, podając na blogu informacje o dotychczasowych efektach wykorzystania tego narzędzia. A są one niebagatelne - luki zostały znalezione we wszystkich popularnych przeglądarkach. Te oparte o WebKit (a więc Chrome i Safari), Firefox, a także Opera w przeważającej mierze zostały załatane, choć ich twórcy muszą się jeszcze uporać z kilkoma trudniejszymi błędami.

Microsoft, podobnie jak inni producenci przeglądarek, zgłoszenie o lukach w Internet Explorerze otrzymał w lipcu ubiegłego roku, ale zbagatelizował sprawę. Opublikował, co prawda, kilka poprawek związanych z IE (ostatnio w grudniu), żadna jednak nie usuwała dziur znalezionych za pomocą cross_fuzza. W grudniu Zalewski poinformował giganta z Redmond, że zamierza upublicznić swoje narzędzie. Dowiedział się wówczas, że specjaliści Microsoftu nie byli w stanie odtworzyć zgłoszonych błędów.

Twierdzenie to bez wątpienia mija się z prawdą, lcamtuf udostępnił bowiem producentom przeglądarek odnośnik do narzędzia, dzięki któremu udało się znaleźć luki w ich produktach. Microsoft nie podał, kiedy dokładnie można oczekiwać stosownych poprawek. Poprosił tylko Zalewskiego o wstrzymanie się z publikacją cross_fuzza, na co specjalista się nie zgodził.

Smaczku całej sprawie dodaje fakt, że jeden z wykrytych przez niego błędów w IE został prawdopodobnie znaleziony także przez bliżej nieokreśloną osobę z Chin. Parę dni przed upublicznieniem cross_fuzza odwiedziła ona bowiem URL, pod którym znajdowało się narzędzie, wpisując w wyszukiwarkę frazy mshtml +breakaaspecial oraz breakcircularmemoryreferences. Są one związane z nieujawnioną dotąd luką w Internet Explorerze i do momentu oficjalnej publikacji cross_fuzza nie występowały nigdzie więcej w sieci (zob. Niebezpiecznik.pl, cross_fuzz i 0day na IE (odkryty także przez Chińczyków)).

Może to oznaczać, że w Chinach trwają właśnie prace nad exploitem wykorzystującym daną dziurę. Czy zmotywuje to giganta z Redmond do szybszego przygotowania łatek? Chyba raczej nie. W grudniu, zaraz po załataniu jednej luki dotyczącej przetwarzania kaskadowych arkuszy stylów w IE, odkryto następną. Jeszcze przed świętami Bożego Narodzenia wykorzystujący ją moduł został dołączony do Metasploita - pakietu narzędzi ułatwiających analizowanie zabezpieczeń. Mimo to Microsoft ani myśli o przedterminowej poprawce.