Korjaus IE-haavoittuvuuteen tulee normaalin aikataulun ulkopuolella

Microsoftin Security Response Center on jokin aika sitten ilmoittanut, että tietoturvapäivitys Security Advisoryssä 979352 kuvattuun IE-haavoittuvuuteen julkaistaan normaalin aikataulun ulkopuolella. Julkaisun tarkkaa aikataulu selviää tämän ja huomisen päivän aikana.

Kuten tuossa MSRC:n blogikirjoituksessakin todetaan, tietoturvatiedotteen ja -päivityksen julkaiseminen normaalin aikataulun ulkopuolella on kohtuullisen harvinaista. Viime vuoden aikana näin tapahtui kerran - heinäkuussa 2009 julkaisimme kaksi korjausta samanaikaisesti liittyen ARL-haavoittuvuuteen, ja sitä edellisen kerran tiedote julkaistiin normaalin aikataulun ulkopuolella juuri ennen joulua vuonna 2008. Tiedämme, että julkaiseminen normaalin aikataulun ulkopuolella aiheuttaa asiakkaillemme, sekä kotikäyttäjille että organisaatioasiakkaillemme, lisätyötä. Päätös julkaisusta normaalin aikataulun ulkopuolella tehdään aina vertailemalla vaakakupeissa monia asioita, tärkeimpinä toisaalta mikä on ulkoinen tarve, eli miten suuren riskin haavoittuvuus ja sen mahdollinen hyödyntäminen aiheuttaa asiakkaillemme, ja toisaalta mikä on tietoturvapäivityksen tilanne testausprosessissamme. Tämänkaltaisen päätöksen tekeminen ei ole koskaan helppoa.

Julkisuudessa, mm. Tietokone-lehden artikkelissa eilen, on myös esitetty epäilyjä tämän haavoittuvuuden suhteen annettujen ohjeiden ja esimerkiksi DEP-suojaustoiminnon pitävyydestä. Todettakoon vielä, että kaikki Microsoftin tiedossa olevat tämän haavoittuvuuden hyödyntämiset ovat kohdistuneet Internet Explorer -selaimen versioon 6. Ohjeet, joita olemme aikaisemmin antaneet käyttöjärjestelmän ja selaimen päivittämisestä sekä DEP-toiminnon käytöstä ovat edelleen paras tapa suojautua haavoittuvuuden aiheuttamalta riskiltä.