Microsoft не спешит обновлять Internet Explorer 10 в Windows 8, который содержит критическую уязвимость во встроенном плагине Flash Player. Ранее нерасторопность вендоров в плане выпуска патчей приводила к плачевным последствиям. Критическая уязвимость в Adobe Flash Player для Internet Explorer 10 делает пользователей RTM-версии Microsoft Windows 8 и корпоративной версии ОС беззащитными к распространяемым через интернет эксплойтам, предназначенным для эксплуатации уязвимостей в плеере, сообщает ZDNet.
В компании Adobe, после того как журналисты подняли эту тему, подтвердили наличие уязвимости в Flash Player в Internet Explorer 10. В конце августа Adobe выпустила обновление для Flash Player, закрывающее данную критическую уязвимость.
Обновление было помечено Adobe как Priority 1, то есть имеющее наивысший приоритет. «Обнаруженная уязвимость позволяет злоумышленникам нарушить работу пользовательской системы или получить контроль над ней», - сообщили в компании. Однако среди всех разработчиков браузеров только Microsoft не выпустила соответствующее обновление для своих пользователей. При этом установить обновление вручную не представляется возможным по техническим причинам - плеер встроен в браузер, отмечает ZDNet. Добавим, что первой встраивать Flash Player непосредственно в веб-браузер начала компания Google.
«Текущая версия Flash Player в RTM-версии Windows 8 не содержит последних исправлений, однако мы планируем выпустить обновление через Windows Update к моменту всеобщей доступности новой системы», - заявили в Microsoft. Иными словами, Microsoft обещает предоставить пользователям соответствующее обновление к 26 октября 2012 г., спустя два месяца после того, как обновление для плеера выпустила Adobe. По словам представителя Adobe, Microsoft отложила выпуск обновления, так как «канал обновлений» для новой ОС пока не работает. Однако непонятно, что имеется в виду под «каналом обновления» - корпорация Microsoft уже вполне свободно выпускает патчи для Windows 8, например, один такой через Windows Update вышел в конце июля для Consumer Preview и Release Preview.
Редакция ZDNet до выпуска обновления для IE10 советует отказаться от использования этого браузера, либо отключить в настройках дополнений Shockwave Flash Object. Ресурс добавляет, что Microsoft, по всей видимости, не научилась на горьком опыте других компаний, которые выпускали патчи с задержкой. Например, Oracle выпустила обновление для Java спустя семь недель после обнаружения уязвимости. За это время, благодаря данной уязвимости, трояном Flashback было заражено свыше 600 тыс. компьютеров Apple Mac. Данная атака на платформу Macintosh стала самой масштабной в ее истории.
http://www.cnews.ru/
В дополнении: Microsoft предупреждает об аннулировании RSA-ключей короче 1024 бит
Компания Microsoft напоминает о скором вступлении в силу ограничения на минимальную длину ключа после октябрьского апдейта Windows. Программы Outlook, Exchange, IE и прочие перестанут принимать сертификаты RSA, подписанные ключами длиной менее 1024 бит. При этом 1024 бит является минимумом, а рекомендуемой длиной ключа Microsoft называет 2048 бит или больше.
Этот апгрейд призван улучшить общую безопасность системы управления публичными ключами PKI от Microsoft, которая была сильно скомпрометирована в свете известных событий. Собственно, апгрейд совершенно явно связан с анализом шпионской программы Flame, которая генерировала валидные сертификаты Microsoft, вычисляя MD5-коллизии на каком-то суперкомпьютере или обладая неизвестным эффективным алгоритмом поиска коллизий.
Microsoft предупреждает всех корпоративных клиентов о необходимости заблаговременно сгенерировать ключи необходимой длины. Если этого не сделать до выхода октябрьского патча, то многие корпоративные сервисы просто перестанут работать. Более того, проблема коснётся и простых пользователей, потому что браузер Internet Explorer не будет принимать сертификаты RSA с ключами менее 1024 бит и не сможет авторизоваться в защищённых веб-сервисах. Почтовая программа Outlook откажется устанавливать соединение с сервером Exchange, если используются слишком короткие ключи.
Данный апгрейд затрагивает все операционные системы Microsoft, включая Windows XP, Windows Server 2003, Windows Server 2003 R2, Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2. Если системные администраторы не осуществят генерацию новых ключей, то в корпоративных системах после октябрьского апгрейда начнётся настоящий хаос. Компания Microsoft рекомендует обратить внимание на те системы, которые давно не подвергались ревизии, потому что всегда работают хорошо и/или вообще не нуждаются в особой криптографической защите. По этой причине им могли уделять внимания в последнее время. Именно там могут использоваться короткие ключи, которые были сгенерированы очень давно.
Соответствующий апдейт Microsoft доступен с 12 августа, но в октябре его включат в пакет Windows Update, так что он будет автоматически установлен в большинстве корпоративных систем.
Внимание! Данная статья была написана более полугода назад, актуальность материала и состояние жизни ссылок не гарантируется! Воспользуйтесь дополнительными параметрами для поиска необходимого вам контента! Приносим свои извинения...
Внимание! У статьи пока нет комментариев, оставьте первым свой комментарий?