Компания Microsoft прекратила поддержку 12-летней операционной системы Windows XP в начале апреля. Теперь оказывается, что прекратила она её не до конца, поскольку 1 мая было выпущено обновление для веб-браузеров Internet Explorer, закрывающее недавно найденную критическую уязвимость, и для Windows XP обновление также было доступно.
Объясняя свои действия, Microsoft называет этот случай исключением из правил, сделанным по причине того, что поддержка системы была прекращена совсем недавно. Возможно, это решение было ошибочным, а мотивация не слишком адекватной.
Подобный патч в единственном числе не сделает никакой разницы в общей безопасности устаревшей платформы. Из последних двенадцати вторничных ежемесячный патчей Internet Explorer получал обновления безопасности 11 раз, примерно с такой же периодичностью обновляются Firefox и Chrome.
Браузеры являются сложными программами. По самой своей природе они подвержены всем потенциально возможным видам вредоносного воздействия, которое пользователь не способен отследить, и потому часто становятся мишенями атак злоумышленников. Безопасность браузера зависит от постоянного потока обновлений и усовершенствований. Одно такое «исключение» не сделает IE на Windows XP безопасным, и после его установки никак нельзя сказать «Отлично, теперь Internet Explorer на XP можно использовать без опасений».
Однако кое-кто именно так и подумает. После этого задача переманить пользователей с Windows XP на современные системы усложнится ещё больше. Вполне возможно, многим системным администраторам придётся безуспешно объяснять своим начальникам, почему данный случай не говорит о том, что можно продолжать работать на XP. Те самые администраторы, которые должны были выбивать бюджет на переход с XP, теперь выглядят лжецами.
Если Microsoft сделала исключение раз, что помешает ей сделать исключение снова? Следующий вторничный патч для IE наверняка будут содержать обновления, затрагивающие версии браузера для Windows XP. Природа программного обеспечения означает, что уязвимости IE7, которая будет поддерживаться до конца жизненного цикла Windows Vista, и IE8, связанной с жизненным циклом Windows 7, также будут и в этих версиях браузеров на XP. Многие из будут найдены и в IE6.
Собственно, в данном случае всё произошло именно так. Первые эксплоиты появились на Internet Explorer 9, 10 и 11 в системах Windows 7 и 8. Компания FireEye сообщила, что только после этого начались атаки на IE8 под Windows XP.
Фактически каждый раз, когда Microsoft будет выпускать обновления для поддерживаемых платформ, компания будет открыто указывать на уязвимость в Windows XP, которая останется незакрытой (уязвимость нулевого дня). В мае появится первый перечень обновлений после прекращения поддержки XP, однако Internet Explorer скорее всего будет обновляться, указывая на «дыры» в версии браузера для XP.
Майские обновления тоже не так далеки от момента прекращения поддержки Windows XP, так что по этой логике вполне можно сделать исключение снова. Сколько нужно «выждать» времени с момента прекращения поддержки, чтобы прекратить её на самом деле? Вторничные патчи неизбежно будут демонстрировать уязвимости неподдерживаемой системы, и ряд их них неизбежно будут использоваться злоумышленниками. С такой высокой долей рынка Windows XP в этом нет никаких сомнений.
Пользователи XP станут жертвами незакрываемых уязвимостей - это и означает прекращение поддержки. Естественно, от Microsoft будут продолжать требовать выпускать новые патчи. В закрытой сейчас уязвимости не было ничего экстраординарного, в ближайшие недели и месяцы мы наверняка увидим похожие случаи.
Правительства США и Великобритании призвали прекратить пользоваться Internet Explorer на Windows XP. У Microsoft есть два варианта действий: занять жёсткую позицию и не выпускать обновлений либо выпускать обновления для XP до тех пор, пока число пользователей не ней не станет малозначительным. Любой вариант не идеален. В первом случае Microsoft отказывается помогать пользователям своей системы, а во втором XP ещё долго будет мешать компании продвигать новые системы. Пока же выбран промежуточный, половинчатый и самый худший вариант, не несущий большой пользы ни компании, ни пользователям.
Комментарии (0)