Kritiek op geheime patches van Microsoft

Core Labs deelt die inschatting in dit geval niet vanwege de aard van de geheime patches. Ze werden verspreid als onderdeel van beveiligingsbulletin MS10-024 voor de mailserver Exchange en Windows SMTP Services, dat de kwalificatie ‘belangrijk’ had. De geheime patches zijn echter eerder kritiek van aard, vindt Core Labs; ze dichten een lek dat het vervalsen van antwoorden op adresaanvragen aan het Domain Name System mogelijk maakt. Daardoor kunnen internetters die een geldig internetadres opgeven, worden omgeleid naar een site met kwaadaardige bedoelingen, zonder dat ze daar erg in hebben. In MS10-024 was alleen sprake van het risico op uitvallen van de dienst en uitlekken van informatie.

Het is die discrepantie in de opgegeven en werkelijke riscico’s van de lekken die MS10-024 volgens Core Labs dicht, dat het bedrijf met zijn bevinding de publiciteit heeft gezocht. Volgens Core Labs lijken de lekken die de geheime patches dichten sterk op de wijdverbreide kwetsbaarheid in de afhandeling van DNS-bevragingen die Dan Kaminsky in 2008 ontdekte. Daarvoor bracht Microsoft destijds wel een als kritiek bestempelde patch uit. Wanneer men patches voor zulke gevaarlijke lekken uitbrengt als onderdeel van een beveiligingsbulletin zonder de hoogste urgentie, kunnen de betrokken beheerders geen goede inschatting maken van de prioriteiten bij het patches, luidt de kritiek van Core Labs.

Nicolas Economou van Core Labs, die de geheime patches vond, vond ook nog een geheime patch in MS10-028 voor Microsoft Visio. Daaraan kleefde overigens voor zover bekend niet hetzelfde bezwaar als aan het beveiligingsbulletin voor Exchange.