W ostatnim Patch Tuesday, który miał miejsce w zeszłym tygodniu, Microsoft usunął dość sporą liczbę bugów. Nie obyło się jednak bez kontrowersji. Najpierw po "niepełnym" rozwiązaniu problemu z podatnością zgłoszoną przez Google firma ta ujawniła średniej rangi podatność. Później pojawił się raport o załataniu podatności zero-day w Windows, która została zgłoszona Microsoftowi jeszcze w 2018 roku.
Chodzi konkretnie o podatność opisaną w CVE-2020-1464. Związana jest ona ze spoofingiem, gdy Windows nieprawidłowo weryfikuje sygnatury pliku. Aktualizacja polegała na poprawieniu sposobu, w jaki Windows weryfikuje te sygnatury. Już w sierpniu 2018 roku podatność odkrył Bernardo Quintero z VirusTotal, usługi należącej do Google, i już wówczas miała być exploitowana. Badacz zgłosił ją natychmiast do Microsoft, a swoje odkrycie opublikował w styczniu 2019 roku. Microsoft podjął działania zapobiegawcze we wspieranych narzędziach, ale oświadczył, że nie rozwiąże problemu w samym systemie operacyjnym. Powody tej decyzji nie publicznie podane.
Po tych wydarzeniach o sprawie pisały jeszcze inne osoby, np. podając, jak użyć GlueBall, aby exploitować Windows. W końcu Microsoft zaczął poważniej traktować sprawę i udostępnić odpowiednie łatki. Zgodnie z opisem CVE-2020-1464 podatność występuje w Windows 7, 8, 8.1, RT 8.1, Server 2008, 2012, 2016, 2019 i Windows 10 aż do wersji 2004. Była też exploitowana w różnych wersjach systemu. Po zainstalowaniu sierpniowej aktualizacji użytkownicy są już chronieni. Wiadomo jednak, że nie wszyscy się na nią załapią, jako że Windows 7 od stycznia nie jest już wspierany, chyba że u klientów, którzy wykupili przedłużone wsparcie.
Uporanie się z tym incydentem przebiegało jak na Microsoft co najmniej dziwnie. Dlaczego gigant zwlekał z poprawką aż dwa lata, mimo że dotykała ona wszystkich wspieranych wersji Windows, jednocześnie zajmując się dużo mniej istotnymi bugami? Na to pytanie nie ma oficjalnej odpowiedzi, a nam trudno nawet postawić jakąś hipotezę.
