В своем последнем обновлении ActiveX компания microsoft “убила” биты управления yahoo, что создает прецедент для будущих действий

В отчете April Patch Day корпорация Microsoft объявила о серьезных уязвимостях в своей операционной системе и их корректировке, но в долгосрочном плане наиболее интересен раздел MS08-023 — обновление "kill bits" для управления ActiveX.

Это обновление направлено на борьбу с двумя уязвимостями. Оно устанавливает три бита в реестре вида kill bits таким образом, чтобы запретить управление уязвимостями. Два из этих битов относятся к управлению ОС, третий -- к управлению Yahoo Music Jukebox. До февральского обновления Yahoo Music Jukebox он поставлялся с двумя неисправными управляющими битами ActiveX. В отчете MS08-023 отмечается, что старый неправильный код отключен.

Сколько еще таких ошибок осталось? Подумайте хотя бы о тех, что уже заложены в вашем ПК при его покупке. Securia перечисляет 335 сообщений безопасности, в которых содержится слово “ActiveX”.

Вы когда-нибудь проверяли с представителями вендоров обновления систем безопасности в купленном вами ноутбуке? Нет? А представители, например, НР обращались к вам по поводу таких обновлений? Не думаю. Как любят отмечать представители Securia, в любом ПК есть множество старых и уязвимых версий программ, о которых пользователь может не иметь ни малейшего понятия .

Хотя элементы управления в ActiveX часто критиковалось в прессе незаслуженно, ясно, что они в отношении безопасности хуже, чем другие типы программ. Плохо сконструированное и уязвимое управление ActiveX открывает брешь для злонамеренного ПО на всех сайтах, которые вы посещаете, но многие вендоры с тупым упорством продолжают использовать в своей работе элементы управления ActiveX.

Есть немало проблем и с ПО, выпущенным недавно, но сохранился целый мир старых и плохих элементов управления ActiveX, и единственный путь справиться с ними — это использовать Windows Update. Лишь немногие имеют у себя системы автоматического обновления программ, а вручную пользователи очень редко делают это. Если же не прибегать к помощи Windows Update, то все проблемы остаются.

Я надеюсь, Microsoft прислушалась к моему совету (www.eweek.com/c/a/Security/Microsoft-Could-Do-More-Windows-Update-as-a-Hosting-Service), когда я предложил им активно продвигать Windows Update для обновления приложений других производителей. Это достаточно примитивная мера, в которой не предусматривается никаких удалений. Но мне эта идея нравится и я думаю Microsoft может начать с ее воплощения.

Я обращался в компанию Microsoft за комментариями и получил очень много информации о том, что такое kill bits. Вот список линков, которые я получил от них, они могут пригодиться:

И еще несколько сайтов с рекомендациями, как реализовать безопасное управление ActiveX:

Но есть и другое решение. Computerworld в одной из своих публикаций цитирует Тима Райана, представителя MSRC (Microsoft Security Response Center — центра безопасности Microsoft), который сказал, что Microsoft может отключить биты управления по первому требованию. Просто напишите по адресу secur@microsoft.com и сообщите им, кто вы и что хотите сделать. Такая методика не нова.

Будем надеяться, что разработчики обратят внимание на это предложение Microsoft. Есть надежда, что такой шаг станет началом политики, открывающей широкий доступ к Microsoft Update для снижения приводящих к серьезным последствиям рисков от использования опасных кодов различных производителей.

Есть еще немало серьезных проблем -- например, издержки и ответственность за причиненный ущерб, но в общих интересах, в том числе и компании Microsoft, начать движение по этому пути.