Hackers zouden patches binnen seconden weten om te toveren tot exploits, maar het is niet aan Microsoft om haar updates tegen reverse engineering te beschermen, zo stellen verschillende beveiligingsonderzoekers. Onderzoekers van de universiteiten van Berkeley, Pittsburgh en Carnegie Mellon onderzochten hoe patches criminelen juist helpen bij het misbruiken van beveiligingslekken. Via geautomatiseerde tools zou een patch binnen seconden zijn te ontleden, waarna het schrijven van een exploit kinderspel zou zijn.
Doordat beveiligingsupdates vaak traag worden verspreid, zouden criminelen op deze manier hun exploits voor de patches kunnen uitrolen. Het fenomeen, omschreven als "automatic patch-based exploit generation" (APEG) zou mede worden veroorzaakt doordat software ontwikkelaars nauwelijks iets doen om updates en patches tegen hackers te beschermen. "Microsoft heeft geen adequate stappen genomen om dit soort pogingen lastiger te maken," zo stellen de onderzoekers. "Microsoft is helemaal niet verplicht om iets aan dit probleem te doen. Hoewel het klopt dat ze niets doen, is het stellen dat ze niet genoeg doen een andere claim," stelt Robert Graham.
Volgens beveiligingsonderzoeker Halvar Flake heeft de APEG-techniek ernstige beperkingen, en kan het ook alleen maar zeer eenvoudige beveiligingslekken vinden. Daarnaast zou de beschreven methode geen exploits genereren, maar alleen beveiligingslekken veroorzaken. Flake verwacht dan ook voorlopig nog geen automatisch gegenereerde exploits.
Graham ziet ook geen beren op de weg. "Het is zeker een interessante ontwikkeling, maar in de echte wereld zal het niet de tijd verkorten die nodig is voor het ontwikkelen van een werkende exploit aan de hand van het reverse engineeren van patches. Die tijd is toch al zorgwekkend kort."
Deze posting is gelocked. Reageren is niet meer mogelijk.