ANTICHAT — форум по информационной безопасности, OSINT и технологиям

К удивлению специалистов по безопасности, компания Microsoft отказалась патчить недавно выявленную уязвимость TCP/IP в Windows XP и Windows 2000. Один из ведущих менеджеров по безопасности программ Microsoft Эдриан Стоун сказал, что этот фрагмент исходников слишком стар, имеет возраст от 12 до 15 лет, и разобраться в коде на этом уровне "просто нереально" [backporting that level of code is essentially not feasible]. Данная фраза была сказана в прямом эфире
_http://edge.technet.com/Media/MSRC-Monthly-Security-Bulletin-Webcast-September-2009/
ежемесячного вебкаста по безопасности (стенограмма
_http://blogs.technet.com/msrc/pages/monthly-security-bulletin-webcast-q-a-september-2009.aspx
), отвечая на вопросы слушателей.
Два бага в стеке TCP/IP были обнаружены 8 сентября.
_http://www.xakep.ru/post/45509/default.asp
Уязвимость затрагивает также Windows Vista, Windows Server 2003 и Windows Server 2008. Для трёх упомянутых систем вышел апдейт MS09-048
_http://www.microsoft.com/technet/security/Bulletin/MS03-010.mspx
, а вот к Windows 2000 и Windows XP патча можно не ждать. Для защиты от вредоносных TCP/IP-пакетов пользователям Windows XP рекомендовано воспользоваться функционалом встроенного файрвола.

Нужно напомнить, что Windows XP — самая популярная в мире ОС на сегодняшний день. По условиям пользовательского соглашения, Microsoft обязана выпускать апдейты безопасности для Windows XP вплоть до апреля 2014 г.

Отказ патчить найденную уязвимость для системы, которая находится на поддержке — довольно редкое явление. По словам Стоуна, последний раз Microsoft шла на такой шаг в марте 2003 года с Windows NT 4.0.
_http://www.xakep.ru/post/49479/default.asp