Patchen kostte Microsoft 2,5 jaar
Het gaat hierbij om drie bugs in Office Web Components. Dat zijn ActiveX Controls waarmee Word-, Excel- en PowerPoint-documenten leesbaar gemaakt kunnen worden in een browservenster. De patches hebben de status kritiek. Een hacker kan namelijk via de zwakke plekken binnendringen wanneer hij zijn doelwit zo gek krijgt om een bezoek te brengen aan een speciaal geconstrueerde webpagina.
Shutterstock
Shutterstock
Of het slachtoffer leidt naar een vervuilde reactie op een legitieme, maar hiertegen niet goed beveiligde website. Een van de bugs werd al minstens een maand actief geëxploiteerd.
De bugs waren in eerste instantie gemeld bij TippingPoint Technologies in het kader van diens Zero Day Initiative. In dat programma looft TippingPoint Technologies beloningen uit voor meldingen van bugs in software, op voorwaarde dat de ontdekker zich onthoudt van publiciteit totdat het lek gepatcht is. TippingPoint speelt die meldingen vervolgens door naar de betrokken softwareleverancier. Bij de nu gepatchte lekken in Office Web Components gebeurde dat in maart en december 2007.
TippingPoint wil Microsoft niet de oren wassen over de lange duur van het patchen. Volgens het beveiligingsbedrijf kan het verhelpen van sommige bugs nu eenmaal bijzonder gecompliceerd zijn, vanwege de gevolgen van de reparatie voor de interne werking en/of de samenwerking met andere software en de noodzaak een en ander goed te testen.
Andere experts zijn niet zo mild. Onlangs gaf John Pescatore van Gartner bijvoorbeeld Microsoft nog een publieke schrobbering omdat het een jaar nodig had om een fout in DirectX te verhelpen. Over 2,5 jaar die Microsoft nu nodig had, heeft Pescatore zich nog niet uitgelaten.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee