A Microsoft tervezi javítani a 6 hónapja javítatlanul álló, kritikus IE8 sebezhetőséget

Bug

A Corelan-os Peter "corelanc0d3r" Van Eeckhoutte tavaly talált egy kritikus "use after free" IE8 sebezhetőséget, amelynek leírását, részleteit eladta a HP tulajdonában levő Zero Day Initiative-nek (ZDI). A ZDI az így megszerzett információkat biztonsági termékeiben felhasználja, így védi ügyfeleit. A ZDI az irányelveinek megfelelően 2013. októberében értesítette a sebezhetőségről a Microsoft-ot. A ZDI a saját protokollja szerint 180 napig visszatartotta a sebezhetőség részleteit, időt adva a gyártónak a javítás elkészítésére.

A Microsoft 2014. februárjában megerősítette, hogy reprodukálni tudja a hibát, de javítást nem tett közzé. 2014. áprilisának elején a ZDI 180 napos türelmi ideje lejárt, így május elején értesítette a Microsoft-ot, hogy nyilvánosságra hozza a sebezhetőség részleteit. A nyilvánosságra hozatal 2014. május 21-én megtörtént.

Az Ars Technica nemrég közzétett adatai szerint az Internet Explorer 8 még jókora részesedéssel bír az Internet Explorer felhasználók körében.

A Microsoft nem adott konkrét választ arra, hogy miért tart ennyi ideig a javítás elkészítése, de azt közölte, hogy egyes javítások kidolgozása hosszabb időt vesz igénybe és mindegyiket óriási mennyiségű programmal, alkalmazással és konfigurációval kell tesztelniük.

A redmondi vállalat azt közölte a IDG News-zal, hogy tervei közt szerepel a hiba javítása. Időpontot azonban nem adott arra nézve, hogy ez a javítás mikor lesz elérhető.

Részletek Van Eeckhoutte blogbejegyzésében, az Ars Technica és az Infoworld cikkében.