Windows Phone už mesiace obsahuje vážne zraniteľnosti. Microsoft ich nebol schopný zaplátať

Americký gigant si doposiaľ nedal rady so štyrmi vážnymi zraniteľnosťami, ktoré postihujú mobilný prehliadač Internet Explorer. Ten je predvoleným nástrojom na prehliadanie webu na platforme Windows Phone. Hoci mala spoločnosť k dispozícii predĺženú lehotu na odstránenie nedostatkov, záplata je naďalej v nedohľadne. Na tému upozornil web Ars Technica.

Vážne zraniteľnosti (ZDI-15-359, ZDI-15-360 , ZDI-15-361 a ZDI-15-362 ) zverejnil portál Zero Day Initiative (ZDI), ktorý patrí pod Tipping Point. Ide o bezpečnostnú divíziu firmy HP.

Uväznený v sandboxe

Najstaršia chyba v prehliadači pochádza ešte z novembra minulého roka. Odhalená bola francúzskym tímom Vupen na hackerskej súťaži Pwn2Own, o ktorej sme svojho času informovali . Zraniteľnosť umožňuje krádež citlivých súborov cookie.

Ďalšie tri nedostatky boli odhalené v priebehu januára tohto roka, pričom všetky umožňujú spustenie škodlivého kódu. Útočník musí vo všetkých prípadoch donútiť obeť, aby navštívila podvodnú stránku alebo napadnutý web so podvrhnutým obsahom.

Dobrou správou pre používateľov je, že žiadna zo zraniteľností sa nedostane mimo takzvaný „sandbox“ prehliadača. V kombinácii s iným škodlivým kódom by však mohli byť následky predsa len vážnejšie

Pol roka nestačilo

Portál ZDI obvykle zverejňuje informácie o chybách až po uplynutí 120-dňovej lehoty. Microsoft pritom požiadal o jej dvojmesačný odklad. Hoci zraniteľnosti neboli nahlásené v ten istý deň, ZDI im stanovilo jednotnú uzávierku – 20. júla 2015.

No ani šesť (v prvom prípade až osem) mesiacov však americkej spoločnosti nestačilo. Dva týždne pred uplynutím lehoty Microsoft informoval portál o priebehu. Neuviedol ale žiadny konkrétny dátum, kedy by mali byť chyby odstránené. Pred piatimi dňami tak boli zraniteľnosti publikované.

Čaká sa na Edge?

Nie je jasné, prečo proces spoločnosti trvá tak dlho. Nie je to však prvý prípad, kedy Microsoft nestihol splniť lehotu na odstránenie nedostatkov vo svojich produktoch. Nedávno sa kvôli zverejňovaniu chýb dostal do slovnej prestrelky s konkurenčným Googlom.

„Sme si vedomí správ týkajúcich sa Internet Exploreru pre Windows Phone. Do hry by muselo vstúpiť niekoľko faktorov a doposiaľ neboli hlásené žiadne útoky. Pokračujeme v monitorovaní situácie a podnikneme príslušné kroky, aby sme ochránili našich zákazníkov,“ reagovala na situáciu americká spoločnosť.

Jedným z dôvodov, prečo Microsoft nevenoval dostatočnú pozornosť spomenutým chybám, môže byť aj pripravovaný Windows 10 Mobile . Ten „pochová“ Internet Explorer a plne ho nahradí prehliadač Edge, ktorý by mohol byť voči zraniteľnostiam odolný. Aktualizácia na novú verziu operačného systému by mala byť dostupná prakticky pre všetky aktuálne telefóny z radu Lumia.