Bijna anderhalve maand na de introductie van Microsoft's nieuwe serverbesturingssysteem Windows Server 2003, is pas deze week de eerste veiligheidspatch verschenen. Om dit te 'vieren' heeft Microsoft speciaal een aantal journalisten opgetrommeld die dit evenement in het nieuws moeten brengen, zo lezen we op The Register. De betreffende patch lost een tweetal veiligheidsproblemen op in Internet Explorer. In tegenstelling tot de andere besturingssystemen waarvoor de patch is verschenen, zijn de gevolgen van de fouten in IE slechts 'moderate'. In Windows XP is dit veiligheidsriscio ingeschat op 'critical'. De reden voor dit onderscheid is dat onder Windows Server 2003 Internet Explorer in de zogenaamde 'Enhanced Security Configuration' werkt, waardoor het niet mogelijk is dat de bugs tot een gecompromitteerd systeem leiden. Volgens een medewerker van Microsoft, Simon Conant, is het te danken aan het veiligheidsbewuste beleid van Microsoft dat de fout in de browser nauwelijks tot een onveiliger systeem leidt. De bug is overigens ontdekt door het beveiligingsbedrijf eEye Security:
The first security patch that needs to be applied to Windows 2003 Server validates, rather than tarnishes, the design by default approach taken in developing Microsoft's flagship server OS.
[...] Although this is an IE problem, it still gives risk to apply the first patches to Windows Server 2003 but Conant said the lesser impact of the vulnerabilities on that platform demonstrate that Microsoft's more security-conscious approach is paying off.
Be that as is may, let's not forget that the flaws addressed by the patch are potentially devastating for the vast majority of Microsoft's installed base (who are running XP, Win 2000, 98, Me and NT).