Gyanús frissítést adott ki a Microsoft
Komoly belső hiányosságokra utal, hogy a Microsoft véletlenül kibocsátott egy teszt-frissítést. Az aláírt szoftver minimális kárt okozott, de komoly kérdéseket vet fel a biztonsággal és minőségellenőrzéssel kapcsolatban.
Rendkívül gyanús windows-frissítés jelentkezett a héten több felhasználó gépén világszerte - figyelt fel a tech-sajtó (Ars Technica, The Register). A frissítéshez tartozó kiadási adatlap véletlenszerű karaktersorokat tartalmazott, a kiegészítő információkra mutató linkek pedig különböző nem létező .gov, .edu és .mil címekre mutattak. A frissítést Windows 7 Pro és Windows 7 Enterprise rendszerekről is jelentették, a letöltés windowsos nyelvi csomagként jellemezte magát, 4,3 megabájtos letöltés és "fontos" besorolás jellemezte. Ez utóbbi azt jelenti amúgy, hogy alapbeállítások mellett a gépekre automatikusan települ.
A frissítést egy felhasználónak sikerült telepítenie, a visszajelzés szerint gyakorlatilag használhatatlanná tette a gépet, a Windows Explorer és a legtöbb alkalmazás folyamatosan fagy és a rendszervisszaállítás sem segített. Szerencsére másoknak nem zárult sikerrel a telepítés, így a hiba viszonylag kevés felhasználót érintett hátrányosan.
IT security meetup és Benk Dénes a SYSADMINDAY-en 4 klassz IT biztonsági előadással, több millió forintos képzési nyereményalappal, és Benk Dénes standupjával vár a hazai SYSADMINDAY július 19-én.
A Microsoft nem sokkal később közölte, hogy a felhasználók által jelentett frissítés egy tévesen implementált teszt eredménye volt. Ezzel a cég gyorsan pontot tett a pletykák végére, a találgatások már arról szóltak, hogy támadóknak sikerült átvenni a vezérlést a Windows Update egyes elemei fölött. Mivel a frissítésen a Microsoft digitális aláírása szerepelt, ez a rémálom-forgatókönyvnek felelt volna meg, szerencsére ilyesmiről végül nincs szó.
Nagyobb probléma, mint gondolnánk
A Microsoft magyarázata világossá teszi a hiba okát, de keveset tesz a tudatos felhasználók megnyugtatására. Az eset ugyanis arra utal, hogy a Windows Update infrastruktúrája kevéssé védett a dolgozók emberi hibáitól, egy ilyen triviális, mellékattintás-típusú tévedést a belső folyamatoknak meg kellett volna állítaniuk azonnal. A tény, hogy teljesen átlagos felhasználóknak kiküldte ezt a Windows Update, arra utal, hogy az elvárható fékek, korlátok, gátak, ellenőrzések és minőségbiztosítási folyamatok bizony nem működnek kielégítően.
Ha ehhez hozzávesszük, hogy a Windows Update akár milliárdos nagyságrendű PC naprakészen tartása fölött őrködik, akkor látható, hogy a probléma azért súlyosabb, mint aminek látszik. A teszt-patch ugyanis a Microsoft hivatalos digitális aláírását viselte, és mint ilyent, a frissítést kérdezés nélkül fogadta el az összes PC, amelyre a Windows Update telepíteni kezdte azt. Tesztkörnyezetben erre jellemzően nincs szükség, a környezeteket szokás úgy preparálni, hogy a hivatalos pecsét helyett egy alternatív, zárt körű teszt-aláírást is fogadjanak.