אם אין אני לי

שתי חברות אבטחת מחשבים הוציאו טלאי אבטחה בלתי רשמיים לפרצת אבטחה קריטית הקיימת בדפדפן האינטרנט אקספלורר של חברת מיקרוסופט. טלאי העדכון של החברות eEye ו-Determina יצאו לשוק שבועיים לפני תאריך היציאה המתוכנן של עדכון האבטחה הבא של מיקרוסופט, שאמור לטפל בפרצת האבטחה, אותה הגדירה מיקרוסופט כ"קריטית". דווח של אתר eWeek.

שתי חברות האבטחה הציעו שני טלאי תוכנה נפרדים שאמורים לספק הגנה זמנית למשתמשי דפדפן ה-IE, אולם מומחים מזהירים כי עדכוני תוכנה מצד שלישי (שאינם של יצרנית התוכנה המקורית) עלולים להוות חרב פיפיות.

באופן כללי, מיקרוסופט אף פעם אינה ממליצה על שימוש בטלאי תוכנה מצד שלישי, כיוון שללא מבחני בקרת איכות ראויים, אי אפשר לדעת איזו השפעה תהא לתיקון הבלתי רשמי על יישומים.

יוהנס אולרייך העומד בראש מכון SANS למעקב אחר סוגיות אבטחה ברשת, אמר כי הצעת הביניים של מיקרוסופט, בדבר כיבוי אפשרות ה-Active Scripting הינה מספיק יעילה עד לצאתו של טלאי רשמי מטעמה, כך שאין ממש טעם להתקין את שני העדכונים הלא רשמיים. למומחה של חיים ברשת יש מדריך המדגים כיצד לבצע את התהליך.

מארק מייפרט, אחד ממייסדי eEye, אמר כי פתרון הביניים שהציעה מיקרוסופט גורם לחלק מהגולשים בעיות בחווית הגלישה באתרים מסוימים, שהגלישה בהם מחייבת Active Scripting. "הטלאי שלנו לא אמור להחליף את זה שמיקרוסופט תשחרר. מדובר רק בהגנה זמנית ואנו ממליצים עליו כעל אמצעי אחרון לאנשים שצריכים שה- Active Scripting יעבוד". לדבריו, טלאי האבטחה של eEye יסיר עצמו באופן אוטומטי לאחר שמיקרוסופט תשיק את טלאי האבטחה הרשמי שלה.

אלקסנדר סוטירוב, מחברת Determina, מסר כי טלאי האבטחה של החברה שלו, אשר שוחרר בצירוף קוד המקור המלא שלו, הינו קובץ DLL המתקן את הפרצה על ידי שינוי בייט יחיד בקובץ MSHTML.DLL, אשר אחראי על פרצת האבטחה. סוטירוב מסר כי זו בדיוק הדרך בה פתרה מיקרוסופט את הבעיה בגרסת הבטא של IE7.