Компания eEye Digital Security обнаружила, что сбой в работе Internet Explorer 6 SP1 в действительности - серьезная брешь в системе безопасности, которая может быть использована хакерами. Это обстоятельство вынудило Microsoft представить обновление в максимально короткий срок.
Microsoft выпустила обновленную версию патча MS06-04 для Internet Explorer и устранила серьезную уязвимость, обнаруженную в его прежней версии, сообщает Viruslist.
Уязвимость в обновлении MS06-04 была обнаружена после того, как пользователи Internet Explorer 6 SP1 стали сообщать о сбоях в работе браузера при посещении некоторых интернет-ресурсов. Сбой оказался результатом переполнения буфера, который возникал после установки патча.
"Исправленная версия обновления полностью решает проблему уязвимости", - заявил представитель Microsoft. Первоначально выпуск новой версии патча был назначен на вторник. Однако из-за проблем с распространением релиз отложили. В это время компания eEye Digital Security обнаружила, что сбой в работе Internet Explorer 6 SP1 в действительности - серьезная брешь в системе безопасности, которая может быть использована хакерами. Это обстоятельство вынудило Microsoft представить обновление в максимально короткий срок.
"Конечно, это те два обстоятельства, наступления которых мы не хотели. Но мы извлекаем уроки из таких ситуаций и собираемся работать, чтобы они не повторялись впредь", - прокомментировал ситуацию менеджер программы Microsoft Security Response Стивен Тулуз (Stephen Toulouse).
Бюллетень MS06-042 был выпущен 8 августа в рамках ежемесячного цикла выпуска обновлений. В пакет обновленией, описанных Microsoft как "критические", вошли патчи для восьми брешей в браузере.
"Все связанное с этим провалом Microsoft IE вызывало ошибку за ошибкой. Я бы хотел спросить, кто в Microsoft нес ответственность за стратегию в этой ситуации", - удивился технический директор eEye Digital Security Марк Майффрет (Marc Maiffret).
Проблема с последним патчем для IE затрагивает только пользователей, установивших Service Pack 1, то есть работающих в Windows XP или Windows 2000. Пользователям Windows XP SP2 и Windows Server 2003 ничего не угрожает, отметили в Microsoft. Разработчики настоятельно рекомендовали как можно скорее установить новый патч.
Группа разработчиков IE задокументировала всю последовательность событий, связанных с появлением бреши, в том числе и код, использованный в первой версии патча. "Они изменили некоторые процедуры и средства разработки", - заявил Тулуз. По его словам, разработчик, совершивший ошибку, будет нести ответственность. Однако какие меры будут приняты, пока не ясно. "Это очень сложная проблема", - заявил Тулуз. Расследование по факту выпуска уязвимого обновления продолжается.
Релиз обновленного патча был задержан из-за ошибки, которая могла помешать приложениям управления патчами. Ошибка вкралась в файл .cab, который содержит детали, используемые этими приложениями для распространения обновлений. Обновление могло появиться на сайте Windows Update и раньше и оказалось бы доступным для приложений управления патчами, не использующими файл .cab. "Наша цель защитить всех пользователей одновременно, и если мы сталкиваеся с ситуацией, когда значительная часть пользователей окажется неспособной развернуть обновление, мы не оставим их", - прокомментировал промедление Тулуз.