Eén van de beveiligingslekken waarvoor Microsoft dinsdag een noodpatch moest uitbrengen, is veroorzaakt door een typefout, zo geeft de softwaregigant zelf toe. Ondanks het gebruik van de Security Development Lifecycle (SDL), die voor veiligere software moet zorgen, werd de kwetsbaarheid toch niet opgemerkt. Volgens 'senior security program manager' Michael Howard is een "typo" in de code de veroorzaker van de problemen in de Active Template Library (ATL). "Een bug is een kans om te leren en je ontwikkelproces aan te passen indien nodig."

De "typo" in het geval van het MSVidCtl ActiveX control betrof een extra '&' karakter, dat ervoor zorgde dat de code potentieel onbetrouwbare code zou wegschrijven, wat tot een buffer overflow leidde. "De bug is gewoon een typo, kun je hem zien?" Volgens Howard zou het probleem waarschijnlijk ook niet bij een code audit aan het licht zijn gekomen, wat ook geldt voor het gebruik van de statische analyse tools. De code vertelt zowel de compiler als de tools dat "het weet wat het doet." Een andere manier om beveiligingslekken te vinden is het gebruik van een fuzzer, die de code met allerlei input bestookt. Ook de fuzzing tools faalde, omdat er een "speciaal gemaakte input stream" nodig was.

Verandering
Microsoft gaat daarom de fuzzing tools updaten om dit soort kwetsbaarheden sneller de detecteren. Verder wordt ook de SDL bijgewerkt om voortaan COM objecten te fuzzen. Het tweede punt dat de softwaregigant gaat veranderen is dat alle ontwikkelteams voortaan de nieuwe ATL libraries moeten gebruiken. "We hebben een vereiste voor compiler en linker toolset, maar vertellen niet welke ATL nodig is, dat gaan we veranderen." Als laatste gaat Howard soortgelijke bugs die eerder zijn gemeld onderzoeken om te zien of er geen gerelateerde problemen zijn.