In de ict-beveiligingswereld woedt al jaren discussie over het wel of niet vrijgeven van informatie over gaten vóór er een patch is. Kwaadwillenden blijken nu informatie over aankomende patches te benutten.
Microsoft is één van de grote ict-leveranciers die al sinds jaar en dag roept dat het onverantwoord is informatie over beveiligingsgaten vrij te geven vóór er een patch is. In de praktijk blijkt het echter nogal eens te kunnen duren voor een patch ontwikkeld, getest en uitgebracht is. Waarna ict'ers zelf zo'n lapmiddel nog moeten testen en uitrollen.
Bovendien is het verschijnsel zero day exploit aan de orde van de dag. Dit is malware die mikt op gaten vóór er een patch uit is. Voorstanders van informatie vrijgeven stellen dat dit beheerders in staat stelt zo'n zero day exploit af te weren, of in ieder geval het gevaar te kunnen minimaliseren.
Ontwikkelaars van kwaadaardige software blijken nu een mooie tussenweg te hebben gevonden. Zij gebruiken de informatie in waarschuwingen (advisories) voor aankomende patches. Het recente gat in de DNS-dienst (Domain Name System) van Windows Server is een concreet voorbeeld. Crackers hebben demonstratiecode ontwikkeld die misbruik maakt van een buffer overflow in de serveruitvoeringen van Windows (2000, 2003, Longhorn Server).
De buffer overflow maakt het mogelijk op afstand code naar keuze te laten uitvoeren op het doelsysteem, om dat daarmee over te kunnen nemen. Inmiddels zijn er verschillende uitvoeringen van de exploit-code voor dit gat ontwikkeld. Daarnaast is het al opgenomen in het kant-en-klare malware-combinatiepakket Metasploit. De discussie kan zich nu dus verschuiven naar hoeveel informatie een leverancier moet aanbieden in zijn patch-waarschuwingen.
