Znajdź zawartość

Od pewnego czasu pojawiają się głosy, że Microsoft powinien wziąć na siebie dostarczanie poprawek dla programów firm trzecich. Zdaniem części ekspertów znacząco zwiększyłoby to bezpieczeństwo użytkowników systemu Windows. Przedstawiciele Microsoftu oświadczyli, że koncern nie będzie dostarczał poprawek innych firm za pomocą Windows Update w Windows 8. Farzana Rahman, menedżer grupy zajmującej się Windows Update, napisała na blogu: „wielka różnorodność mechanizmu dostarczania poprawek, narzędzi instalacyjnych oraz bardzo różne podejścia do wydawania aktualizacji powodują, że niemożliwe jest wykorzystanie Windows Update do dostarczania poprawek dla wszystkich programów dla Windows". Rahman dodał również, że jego firma nie jest w stanie sprawdzić całego oprogramowania wykorzystywanego przez użytkowników Windows. Jedyne działania, jakie podejmuje Microsoft odnośnie poprawek firm trzecich to dostarczanie sterowników dla Windows za pośrednictwem Windows Update oraz okazjonalne blokowanie kontrolek ActiveX na prośbę ich twórców. „Zgadzamy się z tym, że tak wiele różnych mechanizmów poprawek to rozwiązanie niedoskonałe. Każda aplikacja ma własny sposób aktualizacji, trzeba pamiętać, by uruchomić mechanizm aktualizacji, nigdy nie wiadomo kiedy i jak działa taki mechanizm oraz co może zrobić. Użytkownicy z zadowoleniem przywitaliby jeden wspólny mechanizm poprawek" - stwierdza Rahman. „Rozumiem ich sposób myślenia, ale z drugiej strony to olbrzymie rozczarowanie. Microsoft mógłby pokazać się w bardzo dobrym świetle wprowadzając taki mechanizm, a jednocześnie byłby to olbrzymi krok naprzód w dziedzinie bezpieczeństwa" - mówi Wolfgang Kandek z Qualys, który jest entuzjastą takiego rozwiązania. Kandek rozumie, że Microsoft może nie być w stanie weryfikować każdej poprawki każdego programu, ale mógłby zrobić to przynajmniej w przypadku najważniejszych i największych graczy, takich jak Adobe Reader i Flash Player. „Uważam, że są takie organizacje, a Adobe jest jedną z nich, w przypadku których Microsoft mógłby wziąć na siebie obowiązek dostarczania poprawek. Trzeba by tylko porozumieć z kilkoma dużymi firmami, które tworzą dla swoich produktów dobrze przetestowane poprawki" - mówi Kandek. Przedstawiciele znanej firmy Secunia uważają, że Microsoft powinien rozpowszechniać poprawki do wszystkich programów dla Windows.

Microsoft zakończył wsparcie dla systemu Windows XP SP2, jednak dzięki małej manipulacji rejestrem możliwe jest dalsze pobieranie poprawek. Starą sztuczkę, używaną przez osoby, które chcą uruchomić Grand Theft Auto na starszych edycjach Windows, przypomnieli badacze z firmy F-Secure. Użytkownik Windowsa XP z Service Packiem 2, który spróbuje pobrać poprawki, otrzyma komunikat błędu. Jednak, jak się okazuje, możliwe jest takie zmodyfikowanie rejestru, by serwery aktualizacyjne Microsoftu traktowały system tak, jakby był na nim zainstalowany ciągle wspierany Service Pack 3. Wystarczy otworzyć edytor rejestru (Start -> Uruchom -> wpisujemy "regedit" - oczywiście bez cudzysłowiu), przejść do klucza HKEY_Local_MachineSystemCurrentControlSetControlWindows i wartość CSDVersion zmienić z 200 na 300. Później należy zamknąć rejestr i zrestartować komputer. Oczywiście najlepszym i pewnym rozwiązaniem jest zainstalowanie Service Packa 3. Nie ma bowiem gwarancji, że zmiana w rejestrze umożliwi pobranie i zastosowanie wszystkich przyszłych poprawek.

Mozilla rozpoczęła już prace nad pierwszym zestawem poprawek dla Firefoksa 3.5. Załatają one co najmniej trzy z 55 błędów obecnych w przeglądarce. Firefox 3.5.1 ma trafić do rąk użytkowników w połowie lipca. Naprawi on najpoważniejsze niedociągnięcia, takie jak problemy z szyfrowaniem zawartości pod Windows XP, problemy z obsługą alfabetu arabskiego oraz błędy w nowym silniku JavaScriptu TraceMonkey, który wywołuje awarie przeglądarki. Na razie nie wiadomo, czy drobniejsze błędy zostaną poprawione w edycji 3.5.1 czy też trzeba będzie poczekać na edycję 3.5.2. O większości niedociągnięć Mozilla wiedziała w momencie premiery przeglądarki, zdecydowano się jednak ją udostępnić, gdyż nie chciano znowu odkładać momentu debiutu najnowszego Firefoksa. Wydanie przez Mozillę poprawek do dopiero co udostępnionego produktu nie jest niczym niezwykłym. Pierwszy zestaw poprawek do Firefoksa 3.0 ukazał się zaledwie po miesiącu od premiery tej przeglądarki.

Systemy dystrybucji poprawek do oprogramowania pełnią niezwykle ważną rolę na rynku IT. Z tego względu można się spodziewać, że są one bardzo dobrze zabezpieczone. Okazuje się jednak, że nie zawsze tak jest. Justin Cappos, Justin Samuel, Scott Baker i John H. Hartman z University of Arizona znaleźli błędy w wykorzystywanych przez Linuksa i BSD narzędziach APT, YUM i YaST. Luki dają cyberprzestępcom dostęp do części systemu operacyjnego, umożliwiając modyfikowanie, kasowanie oraz wgrywanie plików i, co za tym idzie, zainstalowanie szkodliwego oprogramowania. Naukowcy zauważają, że linuksowi dystrybutorzy niewystarczająco sprawdzają serwery będące mirrorami oficjalnych maszyn dystrybuujących poprawki. Na potrzeby eksperymentu akademicy założyli fikcyjną firmę, wynajęli serwery w centrum hostingowym i bez najmniejszych problemów stworzyli mirrory dla Ubuntu, Fedory, OpenSuSE, CentOS-a i Debiana. W ciągu kilku dni z tymi mirrorami skontaktowały komputery tysięcy użytkowników, w tym maszyny rządowe i wojskowe. Niektóre z dystrybucji sprawdzają zawartość mirrorów, jednak, jak twierdzą akademicy, mimo to cyberprzestępcy mogliby rozpowszechniać inną zawartość niż spodziewana. Wysyłane na komputer pliki z poprawkami są cyfrowo podpisane. Próba podmiany zawartości pliku skończy się wystąpieniem błędu podczas instalacji. Cyberprzestępcy mają jednak inne wyjście. Otóż mogą wysłać prawidłowo podpisane stare pakiety, które będą zawierały znane im luki. Co więcej, badania wykazały, że jeśli na dany komputer uda się przez pewien czas wysyłać podobne przestarzałe dane z repozytorium, to taki ustawiony przez cyberprzestępców mirror nie dopuści do zainstalowania najnowszych poprawek. Innymi słowy, przestępcy po ustawieniu mirrora mogą w niedługim czasie przyciągnąć do niego pokaźną liczbę komputerów, które będą pobierały stare pakiety ze znanymi dziurami, dzięki czemu zostanie przygotowany grunt pod skuteczny atak.

Microsoft udostępnił informacje dotyczące zmian, jakie przyniesie ze sobą Service Pack 1 dla Windows Visty. Koncern zapewnia, że dzięki SP1 jego najnowszy OS będzie pracował bardziej wydajnie, stanie się stabilniejszy i bardziej bezpieczny. Vista z SP1 ma o 50% szybciej kopiować dane, otwierać pliki graficzne czy tworzyć kopie zapasowe. SP1 wkracza właśnie w fazę publicznych testów, więc pobrać będzie mógł go każdy użytkownik Visty. W najbliższym czasie pojawią się zapewne niezależne recenzje, na podstawie których będziemy mogli zweryfikować zapewnienia Microsoftu. Tymczasem na potężnej liście zapowiadanych poprawek znalazła się m.in. obietnica poprawienia systemu archiwizacji plików (ma on obsługiwać pliki szyfrowane – EFS), koncern z Redmond zapowiada też polepszenie narzędzia SRT (Startup Repair Tool), które będzie w stanie poradzić sobie z większą liczbą problemów oraz poprawienie działania protokołu IPv6. Lepiej mają działać bezprzewodowe połączenia ad-hoc i połączenia P2P. Poprawiona zostanie wydajność systemu podczas przeglądania lokalnych zasobów sieciowych, zmniejszone będzie zużycie energii procesora w czasie, gdy będzie on oczekiwał na zadania, poprawiono wydajność systemu podczas jednoczesnej pracy z wieloma plikami. Microsoft obiecuje również zwiększenie prędkości otwierania, kopiowania, rozpakowywania czy pakowania plików. Ulepszono narzędzie ReadyBoost, dzięki czemu Vista będzie szybciej wychodziła ze stanu uśpienia i usunięto problemy ze zintegrowanymi rdzeniami wideo. Mimo, że na razie nie było poważnych ataków na Vistę, koncern poprawił też jej bezpieczeństwo. Wprowadzono nowe interfejsy API, które lepiej współpracują z Kernel Patch Protection, w systemie Data Execution Protection wprowadzono nowe funkcje, poprawiono klienta Remote Desktop oraz rozbudowano narzędzie BitLocker Drive Encryption. Po zainstalowaniu SP1 Vista będzie obsługiwała cały szereg nowych standardów szyfrowania (m.in. SHA-256, AES-GCM, ECDSA czy SHA-384), obsłuży też nowy standard zabezpieczenia VPN (SSTP – Secure Sockets Tunnel Protocol). Zastosowano w niej też nowy generator liczb pseudolosowych (przypomnijmy, że w generatorze stosowanym w Windows 2000 i XP odkryto pewne niedociągnięcia). Vista SP1 obsłuży też najnowszy standard dla sieci bezprzewodowych 802.11n i nowe metody szyfrowania takich sieci. Microsoft postanowił ułatwić pracę administratorom i udoskonalił narzędzia, które wykorzystują oni do zarządzania pecetami w sieci lokalnej. Service Pack 1 dla Windows Visty ma być gotowy w pierwszym kwartale przyszłego roku. Pomimo wcześniej pojawiających się wątpliwości, dotyczących tego, czy Microsoft dotrzyma terminu, na razie wszystko wskazuje na to, że SP1 rzeczywiście zostanie udostępniony przez końcem marca 2008.

Microsoft obiecuje, że wraz z kolejnymi comiesięcznymi poprawkami będzie dostarczał więcej informacji na ich temat. Koncern z Redmond będzie informował o tym, jak bardzo niebezpieczna jest dana luka i których programów dotyczy. Obecnie użytkownicy dowiadują się jedynie o ogólnej liczbie dziur, a ocena zagrożenia podawana jest wyłącznie w przypadku najbardziej niebezpiecznych niedociągnięć. Firma zmieni swoją politykę, gdyż, jak podaje, takiej zmiany oczekują jej klienci. Dotychczas ograniczanie ilości informacji było tłumaczone przez Microsoft obawą przed ich wykorzystaniem przez twórców szkodliwego kodu. Informacje dotyczące przyszłych poprawek udostępniane są w czwartek poprzedzający wtorkową publikację zestawu łat.