К удивлению специалистов по безопасности, компания Microsoft отказалась
патчить недавно выявленную уязвимость TCP/IP в Windows XP и Windows 2000. Один
из ведущих менеджеров по безопасности программ Microsoft Эдриан Стоун сказал,
что этот фрагмент исходников слишком стар, имеет возраст от 12 до 15 лет, и
разобраться в коде на этом уровне "просто нереально" [backporting that level of
code is essentially not feasible]. Данная фраза была сказана в
прямом эфире ежемесячного вебкаста по безопасности (стенограмма),
отвечая на вопросы слушателей.
Два бага в стеке TCP/IP
были обнаружены 8 сентября. Уязвимость затрагивает также Windows Vista,
Windows Server 2003 и Windows Server 2008. Для трёх упомянутых систем вышел
апдейт MS09-048, а вот
к Windows 2000 и Windows XP патча можно не ждать. Для защиты от вредоносных TCP/IP-пакетов
пользователям Windows XP рекомендовано воспользоваться функционалом встроенного
файрвола.
Нужно напомнить, что Windows XP — самая популярная в мире ОС на сегодняшний
день. По условиям пользовательского соглашения, Microsoft обязана выпускать
апдейты безопасности для Windows XP вплоть до апреля 2014 г.
Отказ патчить найденную уязвимость для системы, которая находится на
поддержке — довольно редкое явление. По словам Стоуна, последний раз Microsoft
шла на такой шаг
в
марте 2003 года с Windows NT 4.0.
