Microsoft ha risposto alle perplessità di chi si chiedeva come mai avesse impiegato ben 7 anni prima di sistemare una falla in Windows, e l'ha fatto con un post nel blog del Security Response Center.

Christopher Budd, autore del post, spiega in sostanza che, se c'è voluto tanto tempo, è perché rilasciare prima la patch avrebbe "avuto un impatto negativo sulle applicazioni basate sulla rete. Per essere più chiari, l'impatto avrebbe reso le applicazioni di molti clienti (o di quasi tutti) inutilizzabili".

"Per esempio" - continua Budd - "Outlook 2000 non sarebbe più stato in grado di connettersi ai server Exchange 2000"; così, nel frattempo Microsoft consigliava ai propri clienti di attivare il Smb signing (una "firma" per i pacchetti Smb) per ridurre i danni.

C'è voluto un bel po': soltanto l'anno scorso, grazie anche ai miglioramenti progressivi apportati nel frattempo a Windows Xp e Vista, hanno iniziato a vedere la luce e solo in questi giorni la patch approntata ha raggiunto gli standard di qualità necessari per poter essere rilasciata.

Insomma, se c'è voluto tanto è perché Microsoft ha voluto fare le cose per bene, senza inconvenienti per gli utenti che si sarebbero sicuramente lamentati se una patch avesse impedito loro di mandare e ricevere la posta.

Resterebbe ancora una piccola questione: secondo Metasploit, l'aggiornamento rilasciato da Microsoft non risolverebbe completamente il problema, ma sarebbe efficace solo se l'attaccante è connesso direttamente alla vittima. Pare invece che, se si affida per la connessione a un terzo soggetto cui la vittima ha accesso, possa ancora fare quello che vuole.

Certamente Microsoft starà lavorando anche su questo, e nel 2015 daremo notizia della soluzione del problema.