Megint frissíti az XP-t a Microsoft
Immár harmadszor foltozza a hivatalosan nem támogatott Windows XP-t a Microsoft. Most a cég újra az amerikai kiberfegyverraktár kifosztására kényszerült reagálni.
Újra szakít a hagyománnyal a Microsoft és a júniusi patch kedden újra hibajavítást adott ki a Windows XP-hez - illetve a Windows Server 2003-hoz és a Windows Vistához. Az operációs rendszer támogatása még 2014-ben járt le, ez azt jelenti, hogy a Microsoft már nem ad rendszeres biztonsági frissítéseket minden felhasználónak. Egyes kiemelt ügyfelek azonban vásárolhatnak prémium támogatást ezekhez a rendszerekhez ha nem sikerül időben modernizálni a gépparkot - igaz, ez évente egyre meredekebb összeget emészt fel, így hosszú időre ez sem járható út.
A Microsoft eddig általában tartotta magát a fenti gyakorlathoz, a Windows XP-vel azonban immár harmadszor tesz kivételt. Először még rögtön a támogatás lejártát követően javított egy Internet Explorer-hibát, majd hirtelen idén jött két frissítés az elavult operációs rendszerhez - mindkettő az NSA-től ellopott biztonsági sebezhetőségeket javítja. Ezekből az első a WannaCry támadássorozathoz vezetett, így érthető, hogy a Microsoft most igyekszik mindent elkövetni, hogy egy potenciális második hullámot megakadályozzon.
Az AI és a nagy full-full-stack trend Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.
"A mai döntésünket, miszerint támogatáson kívüli rendszerhez is kiadunk biztonsági frissítést, nem szabad a standard támogatási poltikától eltérőnek tekinteni" - figyelmeztet a Microsoft. Vagyis a kiadott javításoktól nem vált a Windows XP hirtelen támogatottá, nem jönnek majd hozzá továbbra sem rendszeres javítások, a frissítés modernebb rendszerre pedig továbbra is különösen ajánlott. Ezzel a kimondott figyelmeztetéssel együtt is nagyon szokatlan a javítás, hiszen így egyrészt az XP-n ragadt szervezeteknek (leginkább róluk van szó, a manuális telepítést a konzumer közönség túlnyomó többsége nem fogja használni) hamis biztonságérzetet kelt, másrészt a javítás inkább fügefalevél a sok-sok javítás nélküli sebezhetőséghez képest.A lépésnek megfelelően a Microsoft frissítette az NSA-hibák kapcsán korábban publikált dokumentumot is, az áprilisi bejegyzés a különböző sebezhetőségek kódneveit listázza a javításokkal együtt. A változás, hogy immár az ExplodingCan, az EnglishmanDentist és az EsteemAudit hibákat is javítja a cég - ezek ugyanis a még támogatott rendszereket nem érintették, kimondottan az XP-hez pedig (eddig) nem készült el a frissítés. A javításokat a Microsoft nem a Windows Update szolgáltatáson keresztül nyújtja, ahhoz a Microsoft Download Center vagy az Update Catalog rendszerét kell felkeresni.
A lopott Tomahawk meséje
A Microsoft nagyon rossz néven vette az NSA kiberfegyver-raktárának kifosztását. A cég jogi igazgatója, Brad Smith még májusban publikálta a Microsoft hivatalos álláspontját, amely világosan elítélte a gyakorlatot, hogy a különböző kormányok halmozzák a megtalált szoftverhibákat. A nagyobb hatalmak ugyanis aktívan keresik a potenciálisan kihasználható sebezhetőségeket a változatos szoftverekben, gyakran azonban ezeket nem jelentik be a fejlesztőnek, hanem elteszik, elraktározzák, és offenzív eszközöket építenek rájuk.
A gyakorlat már önmagában problémás, az egyik állam által megtalált hibákat persze ugyanúgy megtalálhatja az ellenség is, ha pedig ezeket javítatlanul hagyja, azzal pedig saját infrastruktúráját (akár a közműveket, a közszféra számítógépeit) is veszélybe sodorja. Az igazi sakk-matt viszont akkor jön, ha a felhalmozott sebezhetőségek gyűjteményét ellopják - ez történt ugye az NSA-vel, a Shadow Broker néven dolgozó csoport az egyik ilyen "fegyverraktárat" rámolta ki, de korábban a WikiLeaks is hozzáfért a CIA egyik ilyen gyűjteményéhez.
A Microsoft számára különösen problémás a helyzet, a cég ugyanis nemzetközi szereplőként a kereszttűzben áll, neki kell megvédenie az amerikai rendszereket a kínaiaktól és az oroszoktól, a dél-koreaiakat az észak-koreaiaktól, az irániakat az izraeliektől - és fordítva. A Microsoft számára ezért kritikus fontosságú valahogy hűteni a kiberháború intenzitását, a színfalak mögött folyó csatában ugyanis az egyszerű felhasználók és vele a Microsoft biznisze is járulékos veszteség lesz.
Patch-kedd: mi is kapott javítást?
A Windows XP-n kívül persze a most említett három sebezhetőséget az összes többi érintett operációs rendszeren is foltozta a Microsoft - most a júniusi javítások összesen 247 frissítést hoztak a cég új metodológiája szerint számolva. Ebben persze rengeteg ismétlődés található, az új Security Update Guide rendkívül zavaros felületéről azonban nem könnyen deríthető ki sem a javítócsomagok, sem az egyes sebezhetőségek számossága - CVE-kódok alapján 96 különböző hibáról van szó.
A javított termékek között megtalálható a cég két böngészője, az IE11 és az Edge de az IE9 és IE10 is kapott javítást azokon a rendszereken, ahol ez a legutolsó támogatott böngésző (Windows Server 2008 SP2 illetve Windows Server 2012). Ezen felül szinte természetes, hogy minden támogatott rendszer kapott javítást a WS2008SP2-től és Windows 7-től errefelé, 32 bites, 64 bites és itaniumos kiadások egyaránt.