Computerworld News Service: Microsoft ser ud til at have kendt til sidste uges 0-dagssårbarhed i Internet Explorer i nogen tid.
Sårbarheden, som blev lukket fredag i en hasteopdatering uden for den normale tidsplan, blev først offentliggjort 15. september, da en sikkerhedsekspert fandt angrebskode rettet mod sårbarheden på en kendt hackerserver.
Det fik Microsoft til at udgive en midlertidig rettelse inden for tre dage og derefter en permanent rettelse efter yderligere tre dage.
Men Microsofts sikkerhedsteam har sandsynligvis kendt til sårbarheden i længere tid.
I sikkerhedsbulletinen MS12-063 angiver Microsoft at sårbarheden blev rapporteret via Hewlett-Packard TippingPoints dusørprogram for fejlfinding, Zero Day Initiativ.
"Microsoft takker ... en anonym analytiker, der samarbejder med TippingPoints Zero Day Initiative, for at have rapporteret execCommand Use After Free Vulnerability (CVE-2012-4969)," står der i bulletinen.
Vi ved ikke hvornår
Det vides dog ikke med sikkerhed, hvornår ZDI rapporterede fejlen til Microsoft.
Hverken Microsoft eller HP TippingPoint har svaret i løbet af weekenden på henvendelser med spørgsmål om CVE-2012-4969.
Desuden har ZDI endnu ikke offentliggjort nogen tekniske oplysninger om sårbarheden, hvilket organisationen som regel gør, når en leverandør har rettet en rapporteret fejl.
Flere sikkerhedsanalytikere har også lagt mærke til denne tilskrivning af rapporteringen af fejlen til ZDI.
"Det tidlige varsel hjalp Microsoft til at få rettelsen så hurtigt ud," kommenterer Wolfgang Kandek, der er teknologidirektør hos Qualys fredag.
Analytikerne har generelt rost Microsoft for at udgive en hasteopdatering på under en uge.
Men Kandek tvivler på, at Microsoft vidste noget om sårbarheden særlig lang tid på forhånd, med henvisning til sårbarhedens udgivelsesdato på sårbarhedsdatabasen National Vulnerability Database under (Common Vulnerabilities and Exposures) CVE-2012-4969.
ZDI's liste over kommende varsler - det vil sige varsler for fejl, der er rapporteret til leverandører - angiver 10 varsler til Microsoft fra en anonym sikkerhedsanalytiker.
Den seneste af disse rapporteringer til Microsoft skete 24. juli 2012, mens den tidligste blev indgivet 25. maj 2011.
Hvis den seneste af disse rapporteringer var af CVE-2012-4969, så kendte Microsoft til den farlige 0-dagssårbarhed i Internet Explorer i mere end syv uger, før Eric Romang offentliggjorde sin opdagelse af angrebskoden fundet på en hackerkontrolleret server 15. september.
Også Romang bider særligt mærke i tilskrivningen af rapporteringen af fejlen til ZDI i MS12-063.
"For at gøre det helt klart, så betyder det, at denne sårbarhed blev opdaget af en anden analytiker forud for min opdagelse, rapporteret til ZDI, som derefter rapporterede den til Microsoft," forklarer Romang i et indlæg lørdag på sin personlige blog.
Her kan det være gået galt
HP TippingPoint har oprettet sit dusørprogram for fejlfinding, ZDI, for at styrke udviklingen af beskyttelsessignaturer til sine kunder af HP Digital Vaccine, som bruger disse signaturer i deres intrusion prevention-systemer (IPS'er).
Noget andet, der kunne tyde på, at Microsoft var blevet varslet om den farlige sårbarhed i Internet Explorer lang tid i forvejen, har at gøre med Internet Explorer 10, der følger med Windows 8, som allerede anvendes af visse brugere, men som kommer i handlen 26. oktober.
Microsoft fastholdt: Den er ikke farlig
I sidste uge understregede Microsoft gentagne gange, at Internet Explorer 10 ikke var sårbar overfor dette angreb.
Elia Florio fra Microsoft Security Response Center udtalte torsdag: "Internet Explorer 10 er ikke påvirket."
Microsoft var færdig med udviklingen af Internet Explorer 10 på et tidspunkt før 1. august, da selskabet annoncerede, at Windows 8 var klar til at blive distribueret til partnere og computerproducenter.
Det er ifølge sikkerhedschef hos nCircle Security Andrew Storms muligt, at Microsoft rettede Internet Explorer 10 med oplysninger fra ZDI, mens man for eksempel stadig var ved at teste rettelserne til de andre versioner af browseren.
En anden mulig forklaring er, at Microsoft uforsætligt rettede fejlen i Internet Explorer 10 ved at ændre i koden af andre grunde.
Storms mener, at disse to mulige forklaringer har lige stor sandsynlighed for at være rigtig.
Måske i stand til at blokere
Der er dog en anden mulighed: Måske er en af de nye sikkerhedsfunktioner i Internet Explorer 10 i stand til at blokere denne type angreb, uden at det betyder, at browseren er blevet opdateret med en rettelse af denne specifikke sårbarhed.
Florios vage formulering om, at Internet Explorer 10 ikke er påvirket, er ikke et eksplicit udtryk for, at browseren er blevet rettet.
Dermed er den tredje mulighed stadig på bordet.
Sikkerhedseksperter bringer dog andre bekymringer på banen, navnlig at hackere muligvis udfører såkaldt "reverse engineering" af HP's Digital Vaccine-signaturer for at finde fejl i Microsofts kode, der efterfølgende kan anvendes til udviklingen af angreb mod åbne sårbarheder.
Robert Graham fra Errata Security bemærker, at noget sådant kunne forklare, at det lykkedes hackere at udnytte sårbarheden CVE-2012-4969, der blev rapporteret af ZDI, før den blev rettet af Microsoft.
"Mange leverandører af IPS'er inkluderer beskyttelse mod 0-dagssårbarheder ved virtuelt at rette sårbarheder i IPS'et, før den rigtige rettelse udgives," forklarer Graham i et blogindlæg fredag. "Det betyder, at hackere ganske enkelt kan reverse-engineer et IPS for at få en konstant tilførsel af nye 0-dagssårbarheder fra signatur-opdateringerne."
Romang går dog endnu længere. Ligesom Graham mener han, at reverse-engineering kan forklare forbindelsen mellem ZDI og denne 0-dagssårbarhed. Men han rejser desuden spørgsmålet, om ZDI kan have lækket tekniske oplysninger om CVE-2102-4969 enten bevidst eller ved et uheld.
I sidste måned blev en 0-dagssårbarhed i Java udnyttet af de kriminelle, der kontrollerede den server, som Romang opdagede 15. september. Ligesom med fejlen i Internet Explorer var der heller ingen rettelse umiddelbart tilgængelig for denne fejl i Java - det var en åben sårbarhed. Og ligesom sårbarheden i Internet Explorer blev denne sårbarhed i Java rapporteret af ZDI.
Oracle udsendte sidst i august en hasteopdatering af Java uden for den normale tidsplan, hvilket kun sker meget sjældent. Det skete for at sætte en stopper for det hastigt stigende antal af angreb mod denne sårbarhed.
Oversat af Thomas Bøndergaard
