Во вторник Microsoft собирается выпустить экстренный патч элемента управления потоковым видео ActiveX, который, в частности, используется в Internet Explorer (IE), устраняющий уязвимость, о которой стало известно более года назад, но которая до сих пор не была устранена. Две недели назад Microsoft выпустила обновление, которое в качестве меры против уже начавшихся нападений и вместо настоящего решения проблемы просто отключило не совсем корректный элемент управления ActiveX.

Microsoft не рассказала подробно, что она будет изменять двумя внеочередными обновлениями, то есть обновлениями, выпущенными вне обычного графика, по которому производитель выпускает патч каждый месяц. Ранее в этом месяце специалисты указали на библиотеку Active Template Library (ATL), используемую не только собственными разработчиками Microsoft, но и сторонними программистами для доступа к некоторым функциям под операционной системой Windows. Два немецких специалиста по безопасности, Томас Дуллиен (Thomas Dullien)и Деннис Элсер (Dennis Elser), тщательно исследовали ошибку в ActiveX, в файле "msvidctl.dll", который отвечает за обработку потокового видео. Они обнаружили, что проблемы вытекают из простой ошибки программирования в функции под названием "ATL::CComVariant::ReadFromStream". Хотя Microsoft исключила возможность атак непосредственно на ActiveX, эта же ошибка присутствует и в ряде других файлов Windows, по меньшей мере пяти в XP и по крайней мере 13 в Vista, включая файлы IE, Windows Media Player и Terminal Services. "Ошибка на самом деле гораздо "глубже", чем считает большинство людей," ─ сказал Дуллиен, ─ "и патча, корректирующего реестр, явно недостаточно, поскольку есть много других способов инициирования этой ошибки."

Кроме того, по словам Дуллиена и Элсера, сторонние разработчики могут использовать ту же библиотеку с ошибкой для создания собственных приложений. "Ошибка, возможно, появилась в сторонних компонентах, если кто-либо вне Microsoft имеет доступ к сломанной версии ATL," ─ сказал Дуллиен. ─ "Если этого произошло, Microsoft, возможно, случайно обеспечила уязвимости в сторонних продуктах." Дуллиен утверждают, что, в частности, в старых версиях Adobe Flash есть эта уязвимость. В пятницу Дуллиен предположил, что будущий патч исправит ошибку в библиотеках Visual Studio и в файле "msvidctl.dll", используемом IE.

Подкидывая материал для обсуждения, Брайан Кребс (Brian Krebs) в газете "Вашингтон пост" цитирует Дуллиена, по словам которого Microsoft связалась с ним и попросила больше не комментировать эту уязвимость. В воскресенье ни Дуллиен, ни Элсер не ответили на запросы журналистов. Другие эксперты по безопасности либо отказываются давать комментарии, либо предлагают обратиться за информацией к Дуллиену.

Роджер Томпсон (Roger Thompson), главный научный сотрудник по безопасности программного обеспечения AVG Technologies, считает, что всякий раз, когда Microsoft выпускает внеочередное обновление, пользователям необходимо уделить ему пристальное внимание и установить его при первой возможности. Две недели назад Томпсон предупредил, что уязвимость в ActiveX может стать воротами для новой масштабной атаки, вроде марша вируса Conficker. Другой специалист советует предприятиям проявить осторожность при установке внеочередного обновления от Microsoft, и либо установить его в качестве эксперимента на часть компьютеров, либо вообще подождать с установкой несколько дней, так как патчи Microsoft отличаются непредсказуемостью и могут привести к неожиданным последствиям.

Microsoft выпустит внеочередное обновление во вторник, 28 июля. Это обновление будет предоставлено пользователям через обычные сервисы Windows Update и Windows Server Update. Если всё пойдёт как обычно, то патч будет доступен с 13-00 по восточному времени США, то есть с 22-00 по московскому времени. Позднее в тот же день, в 16 часов и в 19 часов (по восточному времени США; по московскому соответственно в 1 час и в 4 часа ночи 29 июля), компания Microsoft выложит аудиозапись с ответами на популярные вопросы пользователей. Как правило Microsoft выкладывает такие записи на следующий день после появления патча.