Новый браузер Internet Explorer 10, который будет поставляться вместе с операционной системой Windows 8, получит устаревшую версию Flash, в которой на днях была найдена уязвимость. При этом плагин, предназначенный для воспроизведения мультимедийного контента в Интернете, нельзя будет автоматически обновить при помощи службы Adobe.
Adobe — компания-разработчик Flash — еще 21 августа выпустила заплатку, закрывающую "дыру". Однако этот патч не будет включен в итоговую версию Windows 8, которая поступит в продажу 26 октября, пишет ArsTechnica.
Как известно, в "восьмерке" будет две рабочие среды: классическая с иконками, предназначенная для ПК, и "планшетная" с Metro-интерфейсом. Традиционная версия "Окон" получит браузер с полной поддержкой плагинов и расширений (пользователи смогут установить или удалить Flash по своему усмотрению).
Сенсорный IE поддерживать подключаемые модули не будет. Что касается Flash, то он будет "вшит" в Metro-версию браузера. Так, выпускать обновления для плагина сможет только сама Microsoft. Такая же ситуация характерна для браузера Chrome, в котором Flash встроен по умолчанию.
В Microsoft по этому поводу заявили, что обновят Flash в Windows 8 "по мере необходимости" через систему Windows Update. Компания в основном выпускает патчи, в том числе для Internet Explorer, во второй вторник каждого месяца. Adobe также выпускает "заплатки" по вторникам, то на третью или четвертую неделю.
Таким образом, если обе компании будут придерживаться таких графиков релиза, в браузере IE10 образуется "окно" для уязвимостей. Другими словами, если Adobe закроет "дыру" в конце месяца, то пользователям Windows 8 придется ждать несколько недель до следующего обновления Microsoft.
Главная дыра в Windows — это сам Windows
Увы, но не могу с вами согласиться. В то время, как в Microsoft придумывают полноценные процессы по разработке безопасного ПО (SDL) и, пусть даже с опозданием, но принимают безопасность всерьёз, в одном только ядре линукса находят уязвимости чуть ли не каждый день.
Вы, конечно, можете возразить, что главное -- это не количество найденных уязвимостей, а скорость их устранения, но это корректно только в том случае, если других, ненайденных разработчиками, но уже используемых взломщиками уязвимостей, вообще нет.
Да, в линуксе обновлённые версии ядра приходят почти каждую неделю.
(Вот, пока это писал, как раз установилось очередное – 3.2.0.31 :-))
А в виндовсе меняются настолько редко, что, чтобы их получить, надо новый виндовс приобрести
(ну, может с сервис-паками ещё).
Только я не понял, как подобная схема свидетельствует в плане безопасности против линукса, и за виндовс? :-О
((((-;
Дело в том, что на каждые N известных разработчикам уязвимостей наверняка найдётся X ещё им не известных. А одну из этих X уже могут использовать взломщики. (Если совсем не повезёт, этой уязвимостью уже могут торговаться на чёрных рынках.)
Вопрос: какой продукт в этом плане надёжнее: тот, где дыры находят (и чинят) чуть ли не каждый день, или тот, в котором их находят (и исправляют) значительно реже?
Видимо, где чаще исправляют,
там может ещё оставаться X уязвимостей.
А где реже исправляют – XXX .
Да и пункт в лицензионное соглашение о снятии с себя ответственности кое-кто не случайно вставил? ((-;
Ну, не знаю, не знаю...
А насчёт пункта в лицензии -- это вполне нормальный пункт, который наличествует в лицензионных соглашениях как проприетарного, так и свободного софта. Ничего в нём особенного нет. Я бы скорее больше удивился, если бы увидел программу, в лицензии которой этого пункта НЕТ.
Там, где "реже исправляют", взломщики ищут новые дыры с ужасающим усердием, т.к. знают, что одна новая дыра принесёт им сотни тысяч, а то и миллионы, долларов -- и то, если они не будут её использовать, а лишь продадут эксплоит на чёрном рынке. И как только появляются следы её использования, эксперты по безопасности быстро её находят и исправляют.
Там же, где "исправляют чаще", особого интереса у взломщиков нет. И если в результате повышения популярности линуксов он появится, то скорее всего начнут обнаруживаться сотни, а то и тысячи уязвимостей каждую неделю.
Взломать большую часть серверов в мире уже не интересно? Или почти ко всем суперкомпьютерам доступ получить?
(((-;
К серверам и суперкомпьютерам сложнее применить те же массовые методы добычи прибыли (поиск данных о кредитках, DDoS, отображение рекламы), которые используются со взломанными ПК.
Плюс, я наверное, вас удивлю, но главным показателем в любом случае будет количество -- даже самые лучшие трояны/вирусы "пробивают" максимум 30-40% компьютеров, которые посещали заражённые страницы.
Ну да, только недавно была новость о том, что взломах всего один сервер проказники получили свыше миллиона номеров кредитных карт. Недостаточно массово? ;)
Ага, только теперь, во-первых, их искать будет полмира, а во-вторых, просто так скрипт, который эти самые номера кредиток будет доставать с серверов, не напишешь -- этим взломщикам пришлось всё делать самим.
А по теме -- обновление спокойно придёт через каналы Microsoft. Тем более, что критические-то уязвимости они чинят сразу же, а не во второй вторник.
Смотря, что они считают критическим.
Критическими уязвимостями по мнению Microsoft считаются такие, которые позволяют исполнять произвольный код без вмешательства пользователя (и без сообщений со стороны системы) -- то есть вирусы вроде Conficker, а также опасные страницы с кодом, сразу же зарающим машину (которая перед этим вообще не выдаёт предупреждений).
Отправить комментарий