Microsoft устранила бреши в патче для Internet Explorer

Microsoft выпустила обновленную версию патча MS06-04 для Internet Explorer и устранила серьезную уязвимость, обнаруженную в его прежней версии, сообщает сайт News.com.

Уязвимость в обновлении MS06-04 была обнаружена после того, как пользователи Internet Explorer 6 SP1 стали сообщать о сбоях в работе браузера при посещении некоторых интернет-ресурсов. Сбой оказался результатом переполнения буфера, который возникал после установки патча.

«Исправленная версия обновления полностью решает проблему уязвимости», — заявил представитель Microsoft. Первоначально выпуск новой версии патча был назначен на вторник. Однако из-за проблем с распространением релиз отложили. В это время компания eEye Digital Security обнаружила, что сбой в работе Internet Explorer 6 SP1 в действительности — серьезная брешь в системе безопасности, которая может быть использована хакерами. Это обстоятельство вынудило Microsoft представить обновление в максимально короткий срок.

«Конечно, это те два обстоятельства, наступления которых мы не хотели. Но мы извлекаем уроки из таких ситуаций и собираемся работать, чтобы они не повторялись впредь», — прокомментировал ситуацию менеджер программы Microsoft Security Response Стивен Тулуз (Stephen Toulouse).

Бюллетень MS06-042 был выпущен 8 августа в рамках ежемесячного цикла выпуска обновлений. В пакет обновленией, описанных Microsoft как «критические», вошли патчи для восьми брешей в браузере.

«Все связанное с этим провалом Microsoft IE вызывало ошибку за ошибкой. Я бы хотел спросить, кто в Microsoft нес ответственность за стратегию в этой ситуации», — удивился технический директор eEye Digital Security Марк Майффрет (Marc Maiffret).

Проблема с последним патчем для IE затрагивает только пользователей, установивших Service Pack 1, то есть работающих в Windows XP или Windows 2000. Пользователям Windows XP SP2 и Windows Server 2003 ничего не угрожает, отметили в Microsoft. Разработчики настоятельно рекомендовали как можно скорее установить новый патч.

Группа разработчиков IE задокументировала всю последовательность событий, связанных с появлением бреши, в том числе и код, использованный в первой версии патча. «Они изменили некоторые процедуры и средства разработки», — заявил Тулуз. По его словам, разработчик, совершивший ошибку, будет нести ответственность. Однако какие меры будут приняты, пока не ясно. «Это очень сложная проблема», — заявил Тулуз. Расследование по факту выпуска уязвимого обновления продолжается.

Релиз обновленного патча был задержан из-за ошибки, которая могла помешать приложениям управления патчами. Ошибка вкралась в файл cab, который содержит детали, используемые этими приложениями для распространения обновлений. Обновление могло появиться на сайте Windows Update и раньше и оказалось бы доступным для приложений управления патчами, не использующими файл cab. «Наша цель защитить всех пользователей одновременно, и если мы сталкиваеся с ситуацией, когда значительная часть пользователей окажется неспособной развернуть обновление, мы не оставим их», — прокомментировал промедление Тулуз.