Microsoft отказывается устранять очередную уязвимость в IE
7474
Не так давно произошел инцидент из-за которого Microsoft повздорила со специалистами группы исследователей и специалистов по информационной безопасности Project Zero компании Google. Google отводит компаниям 90 дней на исправление уязвимости после чего делает информацию публичной.
Тогда компании Microsoft не хватило всего пару дней до очередного ежемесячного вторника исправлений, чтобы закрыть брешь Windows, которая позволяла проходить локальную авторизацию под любым пользователем без знания пароля. После выяснения отношений, Google согласилась добавлять компаниям к сроку исправления еще 14 дополнительных дней по запросу.
Однако, оказывается, что теперь корпорация вновь упустила все сроки и вообще, по словам Дастина Чайлдса (Dustin Childs) из HP, отказывается исправлять обнаруженную брешь. Дастин сообщил, что на обнародование результатов исследования специалисты HP Zero Day Initiative пошли лишь после того, как Microsoft отказалась устранять брешь, обнаруженную еще в феврале этого года.
Безусловно, сейчас очень много времени и внимания пользователей отдается безопасности и средствам защиты на компьютерах. Для сохранения анонимности в сети используются списки прокси, VPN-сервисы. Для дополнительной защиты браузеров у всех известных антивирусов имеются свои модули защиты, но что делать когда производитель сам отказывается от устранения заведомо известной уязвимости в своем продукте.
Корпорация Microsoft заплатила специалистам HP Zero Day Initiative 100 тысяч долларов за обнаруженную в специально созданных для обеспечения дополнительной безопасности Internet Explorer механизмах Isolated Heap и MemoryProtection, чем проявила заинтересованность в повышении безопасности своего интернет браузера, но что же с их исправлением?
Теперь она не намерена устранять брешь, а значит в связи с выпуском на рынок одновременно с Windows 10 новейшего браузера Edge, помогает окончательно уйти некогда самому популярному браузеру IE в прошлое, чтобы открыть дорогу для приемника? Довольно интересная политика со стороны корпорации, которая так явно и активно борется на публику и в средствах СМИ за безопасность своих пользователей в сети.
Комментарии
Особенно интересной эта политика становится для 10 Enterprise, в которой IE дефолтный браузер, а Эджа вообще не будет. Корпорации выстраиваются в очередь для закупок десятки.
Что-то как-то слабо вериться что MS вот так берет и принципиально не хочет исправлять ошибку. Ладно еще долго (этим страдают все), но что бы вот прям сказать категорично "нет"... Не думаю...
AmiDreAm, вполне. Например исправление ошибки может затронуть множество продуктов а-ля Exchange/SharePoint (можно вспомнить обновление IE с 8 на 9/10 с тем же недугом). А свободных программистов на исправление и тестирование нет - все пилят 10 и офис 2016.
AmiDreAm, это по словам Дастина. Я конечно тоже сильно сомневаюсь, что прям "нет" и все. Однако у IE приличная доля на рынке и это реально странно и печально.
Нашел . У МС две причины не шевелиться:
1. "64-bit versions of IE would benefit the most from ASLR”
2. “MemoryProtect has led to a significant overall decrease of IE case submissions”
По теме
- Microsoft готовит экстренный патч для уязвимости нулевого дня в Internet Explorer
- С Anniversary Update некоторые изменения коснутся и Internet Explorer
- NetMarketShare: Chrome обогнал IE и стал самым популярным десктопным браузером
- Обновлено: 12 января прекратится поддержка браузеров Internet Explorer устаревших для конкретной версии Windows
- C 12 января 2016 года прекращается поддержка устаревших версий IE
- В IE от Windows Vista до Windows 10 найдена серьезная уязвимость
- Internet Explorer вместе с Яндекс и Google признан экстремистским
- Вышло исправление критической уязвимости для IE с 7 по 11 версию
- HP ZDI опубликовала информацию о четырех новых уязвимостях в IE
- Обновление KB3038314 блокирует установку альтернативных поисковиков в IE11