Сервис-паки и безопасность

Иван Карташев

Количество ошибок и брешей в безопасности в продуктах Microsoft давно стало притчей во языцех. И, надо заметить, для этого были веские основания. Иногда ошибки приходилось заделывать практически сразу после выхода новых продуктов. Особенно показателен в этом смысле случай с русской версией Office 2000, которая просто отказывалась запускаться после установки. Для решения этой проблемы пришлось добавить в каждую коробку с новейшим офисным пакетом по дискетке с заплаткой, решающих досадную проблему. Скачать заплатку можно было и из интернета, благо ее размер составлял что-то около 60-65 кб. Таким образом проблему удалось решить, но осадок, безусловно, остался.

Впрочем, в дальнейшем ситуация стала улучшаться. В начале 2002 года Билл Гейтс объявил безопасность приоритетом при разработке новых продуктов Microsoft. В течение нескольких последующих месяцев разработчики Microsoft занимались преимущественно латанием дыр в ранее выпущенных продуктах и внедрению принципов "надежного компьютинга" в проектах, находящихся на стадии разработки. Первым продуктом, созданным в соответствии с новым подходом стала операционная система Windows Server 2003. Из-за переноса акцентов в сторону безопасности разработка ОС несколько затянулась, но определенный результат эти усилия принесли. Патчей для Windows Server 2003 в первый год после выхода системы было выпущено заметно меньше, чем для предшествующих операционных систем: Windows 2000 и Windows XP.

Для Windows XP и Windows 2000 борьба за надежный компьютинг осуществлялась уже с помощью сервис-паков. Выпуск сервис-паков является традиционным способом обновления программных продуктов Microsoft. Пакеты обновлений выпускаются для операционных систем семейства Windows NT, офисных пакетов, а также для большинства серверных продуктов. Как правило, сервис-паки содержат в себе все срочные обновления, исправления относительно малозначимых недоработок, а также поддержку новых устройств и технологий. Например, поддержка USB 2.0 в Windows XP появляется только после установки первого сервис-пака, а для Windows 2000 такая поддержка реализована в четвертом сервис-паке. Однако сервис-паки ни в коем случае нельзя считать просто суммой отдельных патчей и пренебрегать их установкой.

Часто без установки сервис-пака нельзя обойтись вследствие того, что без сервис-пака система не может работать с каким-либо устройством. Хорошим примером здесь является уже упомянутая работа с USB 2.0 в Windows XP. Однако имеется и другой аргумент - безопасность. Кроме латания старых дыр установка сервис-пака позволяет предупредить новые угрозы. Это, во всяком случае, доказывают последние пакеты обновлений для Windows XP и Office 2003.

В случае второго сервис-пака для Windows XP безопасность является краеугольным камнем. О Центре обеспечения безопасности Windows, улучшенном брандмауэре, обновленном Internet Explorer, сказано уже немало. Внимание заслуживает другой факт, внимание на котором пока не заострялось. Дело в том, что последние сервис-паки для Windows XP и Office 2003 обладают неким упреждающим действием. Чтобы понять это, достаточно взглянуть на бюллетени безопасности, выпускавшиеся Microsoft в последние два месяца. В сентябре много шума наделала дыра, связанная с переполнением буфера при обработки картинок в формате JPEG. Действительно, это уязвимость открыла путь для нового типа вредоносных программ, распространяющихся с помощью графических файлов. Дыра имелась во множестве программных продуктов Microsoft, включая офисные программы, браузер Internet Explorer, графические пакеты, среды разработки и т.д. Однако уязвимость отсутствует в Windows XP Service Pack 2, Office 2003 Service Pack 1, а также в своевременно обновленных модулях .Net Framework. То есть для пользователей, своевременно установивших сервис-пак уязвимость в обработке JPEG никакой существенной опасности не представляет.

Похожая ситуация сложилась и с октябрьскими обновлениями от Microsoft. Здесь даже нет нужны в подробном описании. Достаточно сказать, что для Windows XP со вторым сервис-паком актуальным оказалось одно-единственное обновление для Internet Explorer, тогда как для системы без второго сервис-пака нужно было скачать пять различных обновлений. Таким образом, разница в безопасности между системой с сервис-паком и без него видна невооруженным глазом. Не исключено, что со временем "упреждающее" действие второго сервис-пака и других пакетов обновлений Microsoft сойдет на нет, но пока Windows XP SP2 значительно лучше защищена от атак, чем система без второго сервис-пака. Даже без учета улучшенного брандмауэра и обновленного Internet Explorer.

 

Ссылки по теме


Страница сайта http://test.interface.ru
Оригинал находится по адресу http://test.interface.ru/home.asp?artId=1473