Мнение: С каждым выпуском Windows Microsoft обещает улучшения безопасности. И иногда она добивается улучшений, но затем, что ж, мы снова наблюдаем появление действительно древних дыр в системе безопасности.
Автор: Стивен Воган-Николс, старший редактор отдела контента ZDNet.
Дольше, чем некоторые из вас живут, я продвигаю использование более безопасных операционных систем. Видите ли, Windows была небезопасной с тех пор, как в 1985 году вышла Windows 1.0, которая на самом деле была расширением MS-DOS. Тогда, как и сейчас, существовали более безопасные варианты. Тогда это были десктоп-версии операционных систем Unix. Сегодня - это Linux.
Почему же Microsoft так и не смогла обеспечить свою безопасность? Основная проблема заключается в том, что Windows никогда не предназначалась для работы в сети. Она работала как отдельная операционная система для ПК. И даже сегодня, 37 лет спустя, те же самые проблемы, существовавшие до появления Интернета, продолжают проявляться. Unix и Linux начинали с предпосылки, что в системе есть более одного пользователя, и вам нужно защитить учетные записи и программы от других пользователей, локальных или удаленных. Это хорошо послужило этим операционным системам.
Кроме того, разработчики из Редмонда могут говорить, что они переписывают код Windows «полностью», чтобы сделать его более безопасным. Но это не так.
Возьмем, к примеру, недавно исправленную компанией Microsoft уязвимость нулевого дня удаленного выполнения кода Windows Scripting Languages Remote Code Execution Vulnerability, CVE-2022-41128, с рейтингом CVSS 8.8. Это брешь в безопасности языка JavaScript в Windows. В частности, это дыра в движке JScript9 JavaScript в Internet Explorer (IE) 11.
Это неприятная проблема. Она затрагивает все версии Windows, поддерживаемые в настоящее время. Это включает в себя все, начиная с Windows 8.1 и заканчивая всеми различными Windows Servers и Windows 11. С тех пор как она появилась, северокорейские хакеры использовали ее для заражения южнокорейских пользователей вредоносным ПО.
Уязвимость работает через предоставление жертвам вредоносных документов. Когда цель открывает документ, загружается удаленный шаблон RTF. HTML, содержащийся в нем, затем рендерится движком IE. И - та-дам! -- у вас заражение.
Группа анализа угроз Google (TAG), которая обнаружила это, заявила: «Техника широко используется для распространения эксплойтов IE через файлы Office с 2017 года. Преимущество доставки IE-эксплойтов через этот вектор заключается в том, что не требуется, чтобы цель использовала Internet Explorer в качестве браузера по умолчанию».
О, ребята, ситуация намного, намного старше, чем эти шалости! Я описывал подобную проблему в давно несуществующем журнале PC Sources в 1992 году, когда обнаружил ее в Windows for WorkGroup 3.1. Тогда, как и сейчас, Windows и ее родные программы относились к данным документов как к инструкциям программирования.
Вот почему, согласно Atlas VPN, «Microsoft Office остается наиболее широко эксплуатируемым программным обеспечением для доставки вредоносных программ.» Насколько это плохо? 78,5% всех атак. Office на вашем ПК, Office 365, не имеет значения. Они все открыты для атак.
Итак, что же это за слон в комнате, о котором я еще не упомянул? Дело в том, что IE вышел на пенсию в июне 2022. Его заменил Microsoft Edge.
Так почему же, черт возьми, все версии Windows уязвимы к атаке IE в конце 2022 года? Разве он уже не в прошлом? Ведь IE никогда не было в Windows 11. Вам бы хотелось так думать, но независимо от того, какую версию Windows вы используете, движок IE все еще находится в Windows и все еще готов к выполнению атак JavaScript.
Фундаментальные недостатки безопасности Windows никогда не были исправлены. И никогда не будут исправлены. Обратная совместимость гораздо важнее для Microsoft, чем безопасность. Поэтому компания продолжает играть в латание дыр.
Если, как и я, вы предпочитаете безопасность обратной совместимости, вы перейдете на Linux. Несмотря на то, что вы слышали, Linux не так уж сложен в использовании. Но если вы не хотите прилагать усилий, просто купите Chromebook. Любой может использовать Chromebook, и, поскольку он основан на Linux, он гораздо более безопасен.
Источник: https://www.zdnet.com
