Новости Software

Microsoft предупреждали, что уязвимость в Windows будет раскрыта 11 января

В январе 2015 регулярные обновления безопасности от Microsoft сопряжены с недовольством и напряжением со стороны компании и многих пользователей. Это связано с тем, что впервые за очень длительный период времени большинство клиентов корпорации не получили предварительное уведомление о выпускаемых бюллетенях, а также с появлением в открытом доступе данных о критической уязвимости Windows за несколько дней до патча.

Неделю назад сотрудник Microsoft Security Response Center Крис Бетз (Chris Betz) опубликовал сообщение в блоге Technet о том, что в дальнейшем предварительное уведомление о бюллетенях безопасности будет получать только ограниченное число пользователей.

Попросту выражаясь, Microsoft станет делиться данными о будущих патчах только с доверенными клиентами, которым эта информация действительно нужна. Данный шаг может помешать некоторым корпорациям, которые использовали предварительное уведомление для подготовки к установке патчей, но в целом ситуация для кого-либо вряд ли изменится кардинально.

Самым важным событием, связанным с обновлениями безопасности в этом месяце, стала драма, разыгравшаяся между Microsoft и Google из-за бюллетеня MS15-003. Поисковый гигант внёс эту брешь в базу данных Security Research 13 октября прошлого года. По условиям работы сервиса, информация об уязвимости становится публично доступной через 90 дней после добавления.

Меньше чем через месяц после добавления информации об уязвимости в базу данных отдел безопасности Microsoft обратился к Google, заявив, что выход патча к ней должен произойти в феврале 2015 года. Данные об этом присутствуют на странице уязвимости в Google Security Research.

«Microsoft подтвердила намерение предоставить исправления данных ошибок в феврале 2015 года. Компания спросила, можно ли отложить крайний срок в 90 дней», — говорится в первом комментарии к уведомлению. За ним сразу последовал следующий: «Microsoft была уведомлена о том, что крайний срок в 90 дней распространяется на всех поставщиков и все классы уязвимостей, поэтому не может быть расширен. Мы дали понять, что крайний срок в 90 дней истекает 11 января 2015 года».

В результате Microsoft пришлось ускорить подготовку к выпуску патча и сделать его доступным месяцем ранее, но компания всё равно не успела — она выпускает обновления безопасности в каждый второй вторник месяца, в данном случае 13 января, на 2 дня позже, чем истёк 90-древный срок.

Google сдержала своё слово, и подробное описание уязвимости с работающим кодом эксплоита стали доступными всем желающим до выхода патча. Упомянутый выше Крис Бетс в ответ на действие Google опубликовал ещё одно сообщение в блоге Technet, в котором обвинил поисковую компанию в «попытке подловить» Microsoft, от которой страдают только пользователи (подробнее можно прочитать здесь).

Из этой истории можно сделать несколько интересных выводов. Во-первых, Microsoft всё же ускорила выход патча на месяц, что уже полезно для пользователей. Во-вторых, своими действиями компания показала, что вполне может не выпускать исправления для брешей целый квартал, даже если об уязвимости было известно давно (её существование было заявлено не только Google), что потенциально несёт в себе большую опасность.

Из-за данного инцидента вопросы политик безопасности, которыми руководствуются крупные поставщики ПО, сейчас очень активно обговаривается участниками рынка и экспертами ИБ.

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
Прибыль CD Projekt подскочила в третьем квартале на 500 % благодаря успеху Cyberpunk 2077 9 ч.
Криптовалютная компания BlockFi, которая занимала деньги у FTX, объявила о банкротстве 9 ч.
Новый возрастной рейтинг намекает на скорые новости о дате выхода файтинга Street Fighter 6 9 ч.
Переработанная и улучшенная стратегия The Settlers от Ubisoft выйдет в феврале 2023 года под новым названием 11 ч.
Ирландия оштрафовала Meta на €265 млн за утечку данных более 500 млн пользователей Facebook 11 ч.
В Steam бесплатной навсегда стала вдохновлённая GTA 2 королевская битва Gene Shift Auto 13 ч.
По стопам Telegram: в WhatsApp теперь можно отправлять сообщения самому себе 13 ч.
«Сбер» перевёл инфраструктуру своего умного дома на собственное ПО — раньше у неё возникли проблемы из-за санкций 14 ч.
Представлено решение «Базис.vCore» для виртуализации IT-инфраструктуры предприятий 15 ч.
В тестовой версии PowerPoint для iOS стало удобно создавать презентации в портретном режиме 16 ч.
Власти Южной Кореи готовы предоставить Tesla особые преференции, если та построит предприятие на территории страны 9 мин.
Новая статья: Обзор смартфона Infinix Zero Ultra: 200 мегапикселей и 180 ватт 7 ч.
Флагманы Galaxy S23 представят в начале февраля, подтвердил представитель Samsung 11 ч.
Запуск нескольких телекоммуникационных спутников «Экспресс» отложили на один-два года 11 ч.
Tesla в следующем году обновит дизайн Model 3 — основные изменения будут в интерьере 11 ч.
Производство аккумуляторов для электромобилей в Китае превысит локальный спрос втрое к 2025 году 12 ч.
Поставки экранов для ноутбуков в октябре рухнули до минимума за 10 лет и падение продолжится 15 ч.
Rolls-Royce впервые испытала современный авиадвигатель на водороде 15 ч.
Капитальные затраты в полупроводниковой отрасли в 2023 году упадут, как никогда за 14 лет 17 ч.
Hyperion развернёт в США сеть мобильных водородных заправок — они будут сами добывать газ 17 ч.