Blant de mange sikkerhetsoppdateringene Microsoft kom med i forrige uke, var det en som fjernet en rekke kritiske sårbarheter i Microsoft Office Web Components.
Dette er i seg selv ikke så oppsiktsvekkende, men det viser seg nå at Microsoft fikk vite om én av de alvorlige sårbarhetene allerede i mars 2007.
Dette går fram av en rapport skrevet av Peter Vreugdenhil, tilknyttet Zero Day Initiative (ZDI). Det var Vreugdenhil selv om den gang varslet Microsoft om problemet.
Til Heise Security sier Pedram Amini, sjef for ZDI, at stadig hadde behov for mer tid for å sikre at problemet ble fjernet fullstendig. ZDI gir leverandørene all den tid de trenger før de går ut med informasjon om sårbarheter initiativet oppdager.
Ifølge Heise Security ble ikke sikkerhetsoppdateringen gitt ut før det tidligere i sommer var blitt kjent at sårbarheten ble utnyttet av angripere.
I et svar på Heise Securitys spørsmål om hvorfor Microsoft brukte så lang tid på å komme med en offentlig feilfiks, men likevel greide å komme med en raskt når sårbarheten først ble angrepet, forklarer Microsoft at alle sårbarheter er forskjellige, at kvalitetstestingen kan være langvarig og at det i noen tilfeller kan ta lenger tid enn det som er ideelt.
Les også:
- [09.02.2011] Massiv avsløring av sårbarheter
- [07.08.2009] Microsoft klargjør nye sikkerhetsfikser