Уязвимости в програмных продуктах Microsoft устраняют сторонние компании
В январе заплатку к уязвимости Windows Meta File выпустил старший разработчик компании DataRescue Ильфак Гульфанов, а в третьей декаде марта, не дожидаясь обновления Microsoft 11 апреля, заплатку к критической уязвимости «CreateTextRange» в браузере Internet Explorer представила компания eEye Digital Security.
В январе заплатку к уязвимости Windows Meta File выпустил старший разработчик компании DataRescue Ильфак Гульфанов, а в третьей декаде марта, не дожидаясь обновления Microsoft 11 апреля, заплатку к критической уязвимости «CreateTextRange» в браузере Internet Explorer представила компания eEye Digital Security. Ни Гульфанов, ни eEye не получили прибыли от своей работы, но помогли другим защититься от хакеров и повысили свою репутацию.
Несмотря на отсутствие заплатки от Microsoft, ничего страшного в интернете не произошло. Но это только на первый взгляд, утверждает директор по операциям eEye Росс Браун (Ross Brown). Год или два назад любая уязвимость вела к появлению масштабных червей, но сейчас хакерам это стало невыгодно, поскольку черви — инструмент, скорее, разрушения, нежели зарабатывания денег. Хакеры занимаются направленными атаками, что незаметно в мировом масштабе, но довольно болезненно для жертв, говорит Браун.
С момента опубликования на хакерских сайтах программы, эксплуатирующей уязвимость, 23 марта, в Сети появилось не менее 200 сайтов, на которых уязвимость срабатывает при их посещении. При этом на компьютере посетителя незаметно исполняется код, заложенный в страницу хакером.
Microsoft посоветовала пользователям просто отключить JavaScript («Активные сценарии» во вкладке «Безопасность» настроек браузера). Это защищает от уязвимости на 100%, но в интернете настолько много сайтов использует JavaScript, что веб-серфинг, особенно пользование различными сервисами (почтой, платежами, форумами, блогами) становится практически невозможным.
Конечно, установка заплаток от сторонних производителей тоже несет в себе определенный риск сбоев программы: Microsoft, Oracle и другие компании тщательно тестируют свои обновления, что тоже не всегда спасает от сбоев. Но «временные заплатки», по крайней мере, не превратят компьютер в «зомби», через который хакеры рассылают спам или осуществляют распределенные атаки на веб-сайты. К тому же, сторонние производители таким образом подгоняют и дисциплинируют крупных поставщиков программ.
CNews.ru
Большой брат следит за вами, но мы знаем, как остановить его