Megint frissíti az XP-t a Microsoft
Immár harmadszor foltozza a hivatalosan nem támogatott Windows XP-t a Microsoft. Most a cég újra az amerikai kiberfegyverraktár kifosztására kényszerült reagálni.
Újra szakít a hagyománnyal a Microsoft és a júniusi patch kedden újra hibajavítást adott ki a Windows XP-hez - illetve a Windows Server 2003-hoz és a Windows Vistához. Az operációs rendszer támogatása még 2014-ben járt le, ez azt jelenti, hogy a Microsoft már nem ad rendszeres biztonsági frissítéseket minden felhasználónak. Egyes kiemelt ügyfelek azonban vásárolhatnak prémium támogatást ezekhez a rendszerekhez ha nem sikerül időben modernizálni a gépparkot - igaz, ez évente egyre meredekebb összeget emészt fel, így hosszú időre ez sem járható út.
A Microsoft eddig általában tartotta magát a fenti gyakorlathoz, a Windows XP-vel azonban immár harmadszor tesz kivételt. Először még rögtön a támogatás lejártát követően javított egy Internet Explorer-hibát, majd hirtelen idén jött két frissítés az elavult operációs rendszerhez - mindkettő az NSA-től ellopott biztonsági sebezhetőségeket javítja. Ezekből az első a WannaCry támadássorozathoz vezetett, így érthető, hogy a Microsoft most igyekszik mindent elkövetni, hogy egy potenciális második hullámot megakadályozzon.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
"A mai döntésünket, miszerint támogatáson kívüli rendszerhez is kiadunk biztonsági frissítést, nem szabad a standard támogatási poltikától eltérőnek tekinteni" - figyelmeztet a Microsoft. Vagyis a kiadott javításoktól nem vált a Windows XP hirtelen támogatottá, nem jönnek majd hozzá továbbra sem rendszeres javítások, a frissítés modernebb rendszerre pedig továbbra is különösen ajánlott. Ezzel a kimondott figyelmeztetéssel együtt is nagyon szokatlan a javítás, hiszen így egyrészt az XP-n ragadt szervezeteknek (leginkább róluk van szó, a manuális telepítést a konzumer közönség túlnyomó többsége nem fogja használni) hamis biztonságérzetet kelt, másrészt a javítás inkább fügefalevél a sok-sok javítás nélküli sebezhetőséghez képest.A lépésnek megfelelően a Microsoft frissítette az NSA-hibák kapcsán korábban publikált dokumentumot is, az áprilisi bejegyzés a különböző sebezhetőségek kódneveit listázza a javításokkal együtt. A változás, hogy immár az ExplodingCan, az EnglishmanDentist és az EsteemAudit hibákat is javítja a cég - ezek ugyanis a még támogatott rendszereket nem érintették, kimondottan az XP-hez pedig (eddig) nem készült el a frissítés. A javításokat a Microsoft nem a Windows Update szolgáltatáson keresztül nyújtja, ahhoz a Microsoft Download Center vagy az Update Catalog rendszerét kell felkeresni.
A lopott Tomahawk meséje
A Microsoft nagyon rossz néven vette az NSA kiberfegyver-raktárának kifosztását. A cég jogi igazgatója, Brad Smith még májusban publikálta a Microsoft hivatalos álláspontját, amely világosan elítélte a gyakorlatot, hogy a különböző kormányok halmozzák a megtalált szoftverhibákat. A nagyobb hatalmak ugyanis aktívan keresik a potenciálisan kihasználható sebezhetőségeket a változatos szoftverekben, gyakran azonban ezeket nem jelentik be a fejlesztőnek, hanem elteszik, elraktározzák, és offenzív eszközöket építenek rájuk.
A gyakorlat már önmagában problémás, az egyik állam által megtalált hibákat persze ugyanúgy megtalálhatja az ellenség is, ha pedig ezeket javítatlanul hagyja, azzal pedig saját infrastruktúráját (akár a közműveket, a közszféra számítógépeit) is veszélybe sodorja. Az igazi sakk-matt viszont akkor jön, ha a felhalmozott sebezhetőségek gyűjteményét ellopják - ez történt ugye az NSA-vel, a Shadow Broker néven dolgozó csoport az egyik ilyen "fegyverraktárat" rámolta ki, de korábban a WikiLeaks is hozzáfért a CIA egyik ilyen gyűjteményéhez.
A Microsoft számára különösen problémás a helyzet, a cég ugyanis nemzetközi szereplőként a kereszttűzben áll, neki kell megvédenie az amerikai rendszereket a kínaiaktól és az oroszoktól, a dél-koreaiakat az észak-koreaiaktól, az irániakat az izraeliektől - és fordítva. A Microsoft számára ezért kritikus fontosságú valahogy hűteni a kiberháború intenzitását, a színfalak mögött folyó csatában ugyanis az egyszerű felhasználók és vele a Microsoft biznisze is járulékos veszteség lesz.
Patch-kedd: mi is kapott javítást?
A Windows XP-n kívül persze a most említett három sebezhetőséget az összes többi érintett operációs rendszeren is foltozta a Microsoft - most a júniusi javítások összesen 247 frissítést hoztak a cég új metodológiája szerint számolva. Ebben persze rengeteg ismétlődés található, az új Security Update Guide rendkívül zavaros felületéről azonban nem könnyen deríthető ki sem a javítócsomagok, sem az egyes sebezhetőségek számossága - CVE-kódok alapján 96 különböző hibáról van szó.
A javított termékek között megtalálható a cég két böngészője, az IE11 és az Edge de az IE9 és IE10 is kapott javítást azokon a rendszereken, ahol ez a legutolsó támogatott böngésző (Windows Server 2008 SP2 illetve Windows Server 2012). Ezen felül szinte természetes, hogy minden támogatott rendszer kapott javítást a WS2008SP2-től és Windows 7-től errefelé, 32 bites, 64 bites és itaniumos kiadások egyaránt.