Közel négy éve, hogy a Microsoft feje, Bill Gates bevett egy szerénység-pirulát, és kijelentette, hogy sokkal nagyobb hangsúlyt kell fektessenek a biztonsági problémákra, majd útjára indította a Megbízható Számítástechnikáért kezdeményezést. Másfél évvel később a cég piacra dobta a már kevésbé sebezhető és alapbeállításait tekintve kimondottan védekező Windows 2003 Szervert. Újabb egy év elteltével a Microsoft bemutatta a sok biztonsági újítással rendelkező Windows XP SP2-t. Most, közel négy évvel a Megbízható Számítástechnikáért elindítását követően, azon csodálkozom, hogy hajnali 4 órakor miért azzal vagyok elfoglalva, hogy az olvasóimnak egy vészhelyzet esetén alkalmazandó útmutatást állítsak össze, mindezt azért, mert a Microsoft hat hónappal ezelőtt feleslegesnek tartotta egy eredetileg alacsony kockázatú biztonsági rés betömését, mely mára kifejezetten veszélyessé mutálódott.

Technikailag, ez csak egy új csavar egy régi biztonsági hibán, melyet eredetileg „kis kockázatú”-nak tekintettek, mert kezdetben csupán „szolgáltatásmegtagadásos” (Denial of Service) támadásokra tartották képesnek. A hibát kihasználó törést (exploit) a hiba bejelentése és javítása előtt kibocsátó brit cég iránt nem érzek mást, csak undort, de a Microsoft még mindig egy mérhetetlenül gazdag és egyre gyarapodó cég, programozók hadával. Ha kisebb szoftvergyártó cégek képesek az egyszerűbb és komolyabb hibáikat is kijavítani, akkor a Microsoft a rendelkezésére álló programozói haddal és anyagi háttérrel miért nem képes az összes biztonsági rést betömni? Ha a Microsoft hat hónappal ezelőtt megoldotta volna ezt a problémát, annak ellenére, hogy „alacsony kockázatú” volt, talán elkerülhető lett volna ez az eset.

Az Apple-nek, a Mozilla-nak és az Oracle-nek nemrég a Microsoft-nál több jelentős biztonsági réssel és hibával kellett megbirkóznia, mégis a Microsoft volt az egyetlen, ami még hagyott itt-ott néhány betömetlen biztonsági rést. Belátom, hogy ezeknek a megoldatlan problémáknak majd mindegyike csekély vagy közepes jelentőségű, de észre kell venni, hogy a Microsoft szoftverekben jelen vannak a biztonsági hibák, és nem fordítanak kellő figyelmet a megszüntetésükre. Részletesen összehasonlítva a Firefox-ot az Internet Explorer-rel tisztán látható, hogy a Microsoftnak az elmúlt évben már kevesebb biztonsági hibája volt, de messze több a megoldatlan biztonsági rés. Szám szerint 6 (7, ha ezt a legutóbbi komoly hibát is beleszámoljuk) az Internet Explorer javára, ellentétben a Firefox-szal, ahol ez a szám 0. Bár a Firefox-nak összehasonlítva az IE-vel sokkal több biztonsági hibával kellett szembenéznie, a Firefox fejlesztői vették az akadályokat, és kiérdemelték a győzelmet, mivel az ő biztonsági hibáikat legalább kijavították.

Ha megnézzük a Windows XP-hez készített Secunia adatbázis biztonsági réseit, láthatjuk, hogy ezeknek 22%-a nincs kijavítva. Bár ezek többsége csekély vagy közepes veszélyt jelentő hiba, a legsúlyosabb „nagyon kritikus”. Némiképp összezavart, hogy miként engedheti meg magának ezt a Microsoft, lerontva ezzel a Windows XP SP2, Windows 2003 szerver és IIS 6.0. tökéletesítésével elért biztonsági eredményeket. A Microsoft törékeny biztonsági hírneve kapcsán azt gondolhatnánk, hogy jó néhány felelőst elővesznek majd emiatt a redmondi termékmenedzserek. Ilyen jelentőségű hír esetén az IT menedzsereknek és a felsővezetőknek sokkal többet kellene zaklatniuk microsoftos kapcsolattartóikat.