Новости про Microsoft, безопасность и уязвимости

Лечение уязвимостей Spectre и Meltdown — крайне важно, ведь о них известно всем хакерам. Но к сожалению, лекарство от Microsoft приводит к снижению производительности, в некоторых случаях — на 30%.

Чтобы побороть эту проблему замедления, компания решила воспользоваться решением Retpoline, созданным Google. Этот патч известен тем, что практически не оказывает влияния на производительность процессора, но при этом защищает от Spectre.

Компания Google представила Retpoline как универсальное решение для Spectre, но в Microsoft применили собственную разработку. Теперь же в Рэдмонде взяли патч от Google, сообщив следующее: «Да, мы включаем Reptoline по умолчанию в нашем рейсе 19H1, наряду с тем, что мы называем „оптимизацией импорта“ для дальнейшего снижение влияния на производительность от Spectre v2 до уровня шума во всех сценариях», — заявил менеджер по разработке ядра Windows/Azure Мехмет Льюгун.

Совсем недавно, Microsoft решила отказаться от своего движка в браузере Edge, перейдя на ядро Chromium. Теперь же фирма использует патчи поискового гиганта. Всё это может означать попадание Microsoft в большую зависимость от Google в будущем.

Ошибка может быть использована для обхода песочницы безопасности в системах Windows32K. Рассказывая о проблеме в блоге, Google отмечает, что сообщила Microsoft об ошибке в Windows 10 дней назад, но компания ничего не предприняла в ответ.

«После семи дней, согласно нашей политике для активно используемых критических уязвимостей, сегодня мы раскрываем существование критической уязвимости в Windows, по которой не выпущено пояснение или исправление», — говорится в блоге Google. «Эта уязвимость достаточно серьёзна, поскольку нам известно о её активном использовании».

В Рэдмонде не сильно обрадовались этой публикации: «Мы убеждены в координированном раскрытии уязвимостей, и сегодняшнее раскрытие от Google может подвергнуть клиентов потенциальному риску». При этом, когда же фирма будет исправлять уязвимость, она не сообщила. Вероятно, это произойдёт 8 ноября.

Компания Google сообщила, что уже исправила эту уязвимость для пользователей браузера Chrome, а Adobe отчитался об исправлении в обновлении Flash на прошлой неделе.

Сразу после публикации Microsoft сообщила о фишинговой атаке на пользователей Windows, в которой использовалась опубликованная уязвимость. Организацию атаки в Рэдмонде приписывают российской хакерской группировке Fancy Bear.

Атакующие могут использовать эту уязвимость чтобы получить полный доступ к компьютеру жертвы, заставив её открыть заражённый сайт или файл. Пока не было информации о том, что данная уязвимость активно использовалась, но ведь в этом деле всё происходит быстро.

Таким образом, патч был подготовлен через 6 дней после выявления отдельной угрозы в Adobe Type Manager Font Driver. Несмотря на схожесть с уязвимостью в Windows Adobe Type Manager Library, которая была исправлена вчера, ошибка в драйвере оказалось дополнительной проблемой. Ранее выявленная дыра в безопасности была обнародована сетью Hacking Team. Эта ошибка активно использовалась хакерами, вероятно, вместе с уязвимостями Adobe Flash. С её помощью хакеры могли прорвать защитную среду песочницы Google Chrome и удалённо выполнить программный код.

Уязвимость позволяет атакующим отключить продукты безопасности Microsoft, разместив на компьютере жертвы специально подготовленный файл, заставив скачать его из Интернета, отправив по почте или через сервис мгновенных сообщений.

Уязвимость находилась в движке защиты от вредоносного ПО, который является основой для многих продуктов безопасности Microsoft для настольных систем и серверов. Он входит в такие приложения как Microsoft Forefront Client Security, Microsoft System Center 2012 Endpoint Protection, Microsoft Malicious Software Removal Tool, Microsoft Security Essentials, Windows Intune Endpoint Protection и Windows Defender, которые поставляются с предустановленными операционными системами Windows Vista и более новыми.

Сам же софтверный гигант отметил «важность» этой уязвимости, что значит, что она может быть использована для доступа к данным или ресурсам процессора пользователя, однако для этого пользователю необходимо «помочь» злоумышленнику.

В случае если хакеру удалось достичь своей цели, Microsoft Malware Protection Engine прекращает мониторинг повреждённой системы. В целом, получить доступ к компьютеру оказывается достаточно сложно, поэтому случаев использования данной бреши в системе безопасности пока не зафиксировано.

Чтобы снизить риски возникновения подобных ошибок в будущем, Linux Foundation анонсировала организацию новой группы, которая должна помочь предотвратить возникновение новых проблем, подобных Heartbleed .

В эту группу, названную Core Infrastructure Initiative, вошли ряд компаний, включая таких гигантов как Microsoft, Google, Intel, Amazon, Facebook, Dell, IBM. Основной целью группы станет помощь членам ассоциации свободного ПО в проектах, которым требуется поддержка, и первостепенной задачей станет помощь OpenSSL. Члены Core Infrastructure Initiative постараются вложить в проект средства, чтобы повысить его безопасность, наряду с ускорением выпуска патчей.

По поводу присоединения к группе компания Microsoft, в лице директора по программной безопасности Стива Липнера, сообщила: «Безопасность — это вопрос, касающийся всей отрасли и требующий сотрудничества всей отрасли. Core Infrastructure Initiative согласуется с нашим участием в проектах с открытым исходным кодом и улучшении в разработке безопасности во всех платформах, устройствах и сервисах».

Кроме членов-участников группы каждый имеет возможность помочь повысить безопасности финансово. Эти средства будут использованы Linux Foundation и/или проектом Core Infrastructure Initiative.

Вскоре после релиза Xbox One в прошлом году родители пятилетнего Кристофера Фон Хасселя заметили, что он как-то входил в учётную запись Xbox Live своего отца и играл в игры, в которые не должен был бы играть. Когда возник вопрос о том, как он это делает, Кристофер показал, как ему это удаётся.

Как-то после ввода неверного пароля Кристоферу предложили пройти повторную верификацию пароля. Случайно, введя лишь пробелы, он получил желанный доступ.

Отец с сыном составили отчёт в Microsoft. Ошибка была исправлена, и Кристофер получил четыре игры для Xbox One, 50 долларов и годовую подписку на Xbox Live.

В заявлении на этот счёт Microsoft написала, что компания всегда прислушивается к потребителям и благодарит их за обращение их внимания на имеющиеся проблемы. Также компания объявила, что серьёзно относится к безопасности и исправляет ошибки максимально быстро после того, как ей становится известно о проблеме.

Удивительно, но Кристофер уже не первый раз выявил уязвимость. По словам его отца, он сумел обойти блокировку на смартфоне, просто долго нажимая кнопку «Дом». И сделал он это в возрасте 1 года.