Должна ли Microsoft понизить статус уязвимостей Windows Vista?

Один из экспертов считает, что все уязвимости в Windows Vista, связанные с переполнением буфера, должны получить более низкий уровень опасности для системы из-за встроенных в ОС технологий уменьшения возможного вреда.

Майкл Говард, который рассказывает о мерах безопасности в Редмонде во время создания нового ПО заявил, что его не пугает консервативный подход MSRC (Microsoft Security Response Center) к оценке опасности уязвимостей, и отметил, что уязвимости в Windows Vista, получившие статус «важные», должны получить более низкий уровень из-за таких технологий как UAC, GS, SafeSEH и ASLR.

«Понятное дело, что люди, работающие в MSRC очень консервативны, и они предпочтут допустить ошибку среди людей, занимающихся установкой обновлений, чем сами понизят приоритетность обновления. Так что не удивляйтесь, если увидите ошибку, которая и в Windows XP и в Windows Vista имеет статус «важное обновление», несмотря на то, что в Windows Vista есть новейшие технологии защиты, которые могут свести её на нет» - написал Говард в своём блоге, в котором написал несколько прогнозов, о том, как Windows Vista покажет себя при тщательном анализе её безопасности.

Система оценки опасности уязвимостей Microsoft является абсолютно открытой. Например, если уязвимость может быть использована для распространения в Интернет вируса-червя без пользовательского действия, она получит статус «критическая уязвимость» и в Windows XP SP2 и в Windows Vista, несмотря на все технологии защиты, и снижения возможного нанесения вреда для системы, которые сделают её использование невозможной.

Это, по мнению Говарда, не обеспечит представление точной меры стойкости Windows Vista системы к уязвимостям, если как критерий уязвимости будет использована её серьёзность и опасность без учета новых технологий защиты.

«Пользователи более защищены когда используют Windows Vista, по сравнению с любой более ранней версией Windows» - сказал Говард.

Мнение Говарда, о том как Windows Vista выдержит исследование хакерами на предмет уязвимостей: «В течение нескольких следующих месяцев будет найдено несколько ошибок в безопасности, причём я без понятия о том, сколько их будет. Я не намерен судить безопасность Windows Vista в общем, по тем уязвимостям, которые будут найдены в первые месяцы. Однако, я хочу оглянуться на два года назад и сравнить Windows Vista, XP SP 2 и Server 2003. Я считаю, что нас ожидает существенное уменьшение количества и опасности уязвимостей, по сравнению с более ранними версиями Windows.

Также, будут найдены уязвимости свойственные только для Windows Vista, но я считаю, что их количество будет довольно небольшим».

Также Говард предсказал, что в течение последующих двух лет критических уязвимостей в Windows Vista будет найдено меньше чем в Windows XP.


Источник: http://blogs.zdnet.com
Перевод: prymara