Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Knap ti dage. Så kort tid gik der, fra en ny sårbarhed i Windows blev fundet, til Microsoft udsendte en rettelse.
Sårbarheden ligger i Windows' behandling af formatet VML (Vector Markup Language). Den blev opdaget omkring den 17. september af sikkerhedsfirmaet Sunbelt Software.
De bemærkede, at en stribe webservere i Rusland anvendte en ukendt metode til at inficere pc'er. De ramte pc'er blev indrulleret i et botnet, så bagmændene kunne fjernstyre dem.
Ukendt sikkerhedshul
Metoden viste sig at udnytte et hidtil ukendt sikkerhedshul i behandlingen af VML-data.
Den 18. september skrev blandt andre nyhedstjenesten Eweek om problemet. I første omgang formodede man, at sårbarheden lå i Internet Explorer.
Dagen efter kom Microsofts første officielle reaktion: En advarsel om et muligt sikkerhedsproblem. Firmaet oplyste, at sårbarheden lå i Windows-styresystemet, ikke i Internet Explorer.
Den 21. september offentliggjorde Infoworld en artikel, der beskrev, hvordan sårbarheden også kunne udnyttes fra Outlook. Det var igen forskerne fra Sunbelt Software, der havde kigget på sårbarheden. De fandt ud af, at det var muligt at få Outlook til at afvikle maskinkode, der var indlejret i VML-kommandoer.
Uofficiel rettelse
Næste dag kom den første rettelse, der lukkede sikkerhedshullet. Det var imidlertid ikke Microsoft, der udsendte den. En gruppe sikkerhedsforskere, der kalder sig Zeroday Emergency Response Team (ZERT), havde i fællesskab udviklet rettelsen, som kunne hentes på deres websted.
Den 26. september kom så den officielle rettelse fra Microsoft. Ved samme lejlighed trak ZERT den uofficielle rettelse tilbage. Hvis man har installeret den, skal man fjerne den igen, før man installerer Microsofts rettelse.
Zero-day
Historien demonstrerer, at begrebet "zero-day" faktisk eksisterer. En "zero-day exploit" er et angrebsprogram til en hidtil ukendt sårbarhed. Navnet angiver, at ejerne af de sårbare systemer har nul dage til at installere en sikkerhedsrettelse, der lukker hullet.
Men historien viser også, at branchen er blevet bedre til at reagere på sikkerhedsproblemer. Der gik knap ti dage fra sårbarheden blev opdaget, til rettelsen var klar.
Kun et par dage efter den officielle rettelse blev der fundet en ny sårbarhed i Internet Explorer. Microsoft har nu oplyst, at også denne sårbarhed i virkeligheden ligger i det underliggende Windows-system. Det bliver spændende at se, hvor hurtigt de denne gang udsender rettelser.
Oprindelig bragt på Computerworld Online fredag den 29. september 2006
LINKS
Microsofts sikkerhedsbulletin MS06-055 om rettelsen til VML-hullet
Advarsel fra Microsoft om den nye sårbarhed