Microsoft спешно выпускает обновления и торопит с их установкой

Бизнес

На минувшей неделе Microsoft выпустила внеочередной критический патч для всех версий Windows, с тем чтобы предотвратить возможный ущерб от уязвимости в библиотеке Adobe Type Manager. Она ошибочно обрабатывала шрифты OpenType, что допускало возможность удалённого исполнения кода на атакуемой машине.

Исправление багов

Поспешный выход патча — всегда повод для некоторого изумления. Такое событие означает, что что-то пошло настолько не так, что не может ждать следующего планового распространения в день патчей (в случае Microsoft это вторник). Microsoft заявила о том, что не располагает какой-либо информацией о реальной эксплуатации уязвимости MS15-078, хотя известно, что эта ошибка уже стала достоянием общественности.

Согласно Threatpost, «злоумышленник может использовать уязвимость для захвата полного контроля над системой, что означает получение ​​возможности устанавливать программы, просматривать, изменять и удалять данные наряду со способностью создания новых учетных записей с полными правами пользователя».

Это действительно важная проблема, которая требует быстрого решения.

На самом деле всего неделю назад вышел другой патч для уязвимости Adobe Type Manager Font Driver — уже печально известной CVE-2015-2387. Таким образом, пользователи, включившие автоматические обновления ОС Windows, могли наблюдать в течение нескольких дней два уведомления подряд, предлагавших перезагрузить компьютер для установки патчей.

Оба считались критическими, хотя последний был несколько серьёзнее.

wide

Свойственно ошибаться

Тот факт, что Microsoft решила выпустить исправления как можно скорее, обнадёживает. Разработчиков Windows часто (даже хронически) критиковали за количество дыр и уязвимостей, которые надо залатать, когда, по сути, каждый поставщик программного обеспечения допускает ошибки, и чем сложнее система, тем чаще эти ошибки будут допускать — и обнаруживать. Обе ситуации неизбежны. Хорошо, если изъян находят хорошие хакеры. Но вторую уязвимость CVE-2015-2387, по-видимому, уже эксплуатировали, по крайней мере, в течение какого-то времени, поддерживая статус нулевого дня. И обстоятельства обнаружения бага были весьма неприятными.

Но после обнаружения всех багов главной задачей становится быстрый и эффективный способ их устранения. Microsoft справилась с ней самым должным образом.

А ещё есть реакция конечных пользователей. Сами объемы исправлений, обновлений и патчей, которые обрушиваются на них, — это на самом деле вещь хорошая, хотя и может несколько раздражать. Но достаточна ли такая причина, для того чтобы игнорировать их? Ни в коем случае. Но их часто игнорируют.

Продавливание

В другой связанной с этой новости Windows 10 стала общедоступной буквально накануне: впервые в истории, пожалуй, Microsoft фактически предоставила систему бесплатно пользователям легальных копий Windows 7 и Windows 8.1.

Среди всех обещанных усовершенствований в области безопасности Microsoft, в частности, заявила, что обновления будут поставляться «на сервисной основе». Люди получат новые возможности бесплатно, «на весь срок поддержки» устройства, на котором система установлена. Версии Home и Pro автоматически получат все некритичные обновления, так как они выполнены без возможности отказа от них, в дополнение к автоматическому обновлению драйверов. В версиях Pro предусмотрена возможность отложить обновления на ограниченное время, но нельзя их полностью игнорировать.

Этот подход может показаться несколько «чёрствым», но вот те частые и порой бесконечно долгие задержки с установкой патчей создают дополнительные риски, с которыми надо справляться. Microsoft выбрала для себя определённый образ действия.