Stfw.RuMicrosoft, являясь крупнейшим разработчиком софта в мире, а также разработчиком самой популярной настольной платформы Windows, должна бы ответственнее относиться к обеспечению безопасности миллионов своих клиентов, а вместо этого, переносит очередные вторничные патчи безопасности на целый месяц, а также не спешит реагировать на обнаруженные Google и другими компаниями уязвимости.
Один из членов команды по поиску уязвимостей в сторонних продуктах Google Project Zero Матеусз Юрцзик (Mateusz Jurczyk), рассказал, что выпущенный для обнаруженной его командой в Windows патч MS16-074 прошлым летом не исправляет проблему полностью, а решает лишь ее часть. После того, как Google сообщила об этом в Microsoft, представители корпорации не стали выпускать нового исправления и его нет и по сей день, что удивительно.
Таким образом Google уже несколько раз приходилось раскрывать информацию об уязвимостях публично, что становилось причиной обиды Microsoft на Google, что немного странно. Отсутствие должной реакции от Microsoft вынуждает даже сторонних разработчиков выпускать свои исправления до выхода официальных, как это сделала недавно группа 0patch.
Эксперт по безопасности Крис Готл (Chris Goettl) из Ivanti считает, что установка патчей от третьих разработчиков при наличии официальной поддержки продукта от официального разработчика, это не правильное решение. По его мнению лучше использовать рекомендации по минимизации возможных негативных последствий, а не устанавливать патчи, которые подменяют официальные компоненты Windows, делая систему немного "серой".
И все же ситуация выглядит немного странной, в условиях постоянных изменений, кто как ни такой крупный производитель софта, как Microsoft, должен заботиться о своих продуктах, меняя подход к исправлению уязвимостей. Часто уязвимости известны закрытым хакерским сообществам многие месяцы до выхода их исправлений, а когда кто-то вроде команды Project Zero из Google заявляет о них публично после месяцев бездействий гиганта, Microsoft начинает предъявлять претензии им, а не своим разработчикам. Вдобавок, эксперты не рекомендуют использовать неофициальные патчи, которые выходят оперативнее официальных, если последние вообще выходят. Все это напоминает небольшое сумасшествие.
Отметим, что вскоре на таких сайтах, как http://moyushhijpylesos.ru/ мы сможем увидеть даже пылесосы на Windows 10 IoT, а также появятся сотни других устройств Интернета вещей в наших домах, но такое отношение к исправлению уязвимостей в Windows, которое демонстрирует Microsoft, сделает нашу технику лакомым кусочком для злоумышленников. Благодаря нерасторопности Microsoft, они смогут следить за нами через камеры компьютеров и SmartTV, а возможно и наносить прямой ущерб через перехват управления устройствами, с таким то отношением к безопасности платформы.
