Det danske it-sikkerhedsfirma Secunia har givet Microsoft røde øren. Tirsdag - samme dag som softwaregiganten udsendte rettelser til otte sårbarheder - fortalte Secunia omverdenen, at softwaregiganten har overset en meget alvorlig sårbarhed.
? Vi kunne se, at opskriften på at udnytte netop den sårbarhed lige er blevet offentliggjort på nettet af en person ved navn Stewart Pearson.
Han ville bevise, at sårbarheden eksisterer, oplyser teknisk direktør Thomas Kristensen, Secunia.
Han kan konstatere, at Microsoft efterfølgende har kritiseret offentliggørelsen af sårbarheden.
Ifølge nyhedstjenesten IDG News Service påpeger Microsoft, at det er almindeligt accepteret praksis, at en sårbarhed først skal rapporteres til producenten.
Denne praksis giver producenten en mulighed for at få en patch på plads, inden omverdenen ? og dermed hackersamfundet ? orienteres.
Længe kendt
Sårbarheden blev imidlertid rapporteret af et andet firma, Hexview, 30. marts, oplyser Secunia. Men Hexview modtog ingen reaktion fra Microsoft, og lagde siden informationerne ud på visse web-steder.
Thomas Kristensen skønner, at det er ret sandsynligt, at nogen, der handler i ond vilje, snart vil udnytte Pearsons kode. Sandsynligheden for, at antivirussoftware afværger den ondartede kode er nemlig ikke så stor.
Sårbarheden findes i Microsoft?s Jet Database Engine. Den kan tvinges til at køre udefra kommende kode, hvis man får lokket brugeren til at åbne en særligt designet fil af typen ?.mdf? i Microsoft Access.
? Antivirusfiltre lukker typisk af for visse typer filer, såsom .exe, men .mdf ses sjældent filtreret fra, siger Thomas Kristensen.
At Secunia vælger at offentliggøre fakta skyldes hensyn til kunderne, siger Thomas Kristensen.
Han mener, at det er for arbejdskrævende for de sikkerhedsansvarlige selv at tjekke alle web-steder, hvor potentiel ondartet kode offentliggøres.
