Z deszczu pod rynnę - tak najtrafniej można określić sytuację, w jakiej znalazł się Microsoft po opublikowaniu w tym miesiącu jednej z dziewięciu krytycznych aktualizacji zabezpieczeń. Stwierdzono, że jedna z opublikowanych łat, MS06-042, powoduje awarię programu Internet Explorer 6.0 SP1, jeśli użytkownik odwiedza stronę wykorzystującą protokół HTTP 1.1 i kompresję. Microsoft udostępnił pilną poprawkę i zapowiedział na 22 sierpnia publikację poprawionej wersji aktualizacji zabezpieczeń.

Jednak 22 sierpnia Microsoft ogłosił publicznie, że nie opublikuje uaktualnionej wersji łaty, przynajmniej nie w najbliższej przyszłości. Jako powód wstrzymania aktualizacji firma podała "problem wykryty w testach końcowych". Microsoft obiecał, że poprawiona łata zostanie udostępniona w niesprecyzowanym terminie, po przeprowadzeniu wszystkich niezbędnych testów.

To jednak nie wszystko. W tym samym czasie, gdy Microsoft przyznał, że nie opublikuje nowej łaty, zaczęły pojawiać się doniesienia, według których łata MS06-042 może być przyczyną nowej i niebezpiecznej luki. Dziura ta zagraża użytkownikom korzystającym z programu Internet Explorer 6.0 SP1, którzy zainstalowali starą łatę, i może prowadzić do przejęcia kontroli nad systemem przez osobę atakującą. Niektórzy specjaliści ds bezpieczeństwa są przekonani, że luka ta może zostać wykorzystana, a szkodliwi użytkownicy wiedzą o problemie. Microsoft wydał już oświadczenie w tej kwestii, twierdząc, że wszelkie istotne doniesienia publiczne są "badane" przez firmę. Dodał również, że nic mu nie wiadomo na temat exploitów występujących na wolności, i zalecił użytkownikom, aby nadal instalowali łatę MS06-042.

Źródło: Computerworld Microsoft TechNet