Skomentuj:
Aby ocenić zaloguj się lub zarejestrujX
Francuska organizacja CERTE i Federalne Biuro Bezpieczeństwa Informatycznego ogłosiły alerty, w których zalecają użytkownikom Windows zrezygnowanie z IE 6, 7 i 8 - ponieważ w aplikacjach tych wykryto niedawno poważny błąd w zabezpieczeniach (ten sam, który wykorzystano podczas ataków na Google).
Oficjalne stanowisko Microsoft
Właśnie poznaliśmy oficjalne stanowisko Microsoftu w tej sprawie - Patryk Góralowski, odpowiadający w polskim oddziale koncernu za konsumencki rynek Windows, oświadczył w rozmowie z Technologie.gazeta.pl, że komunikaty wspomnianych organizacji wydają się nieprzemyślane i w pewnym sensie wprowadzają w błąd użytkowników. Sugerują bowiem, że na niebezpieczeństwo narażeni są użytkownicy wszystkich dostępnych obecnie wersji IE - tzn. 6, 7 i 8. "Błędy faktycznie występują w trzech wydaniach - ale do tej pory atak przeprowadzono wyłącznie za pośrednictwem luki w IE6. Czyli tej wersji IE, którą sami od dawna próbujemy usunąć z rynku - np. zachęcając użytkowników do instalowania najnowszej, znacznie bardziej bezpiecznej wersji. Luka występuje co prawda również w IE7 i 8 - ale w tym wersjach znajdują się dodatkowe narzędzia zabezpieczające, dzięki którym użytkownik może bez problemu zabezpieczyć się przed atakiem" - tłumaczy przedstawiciel Microsoftu.
MS: zamiast rezygnować, zabezpieczcie IE
Góralowski dodał też, że istnieją znacznie prostsze metody uchronienia się przed atakiem niż rekomendowane przez CERTE czy FBBI zrezygnowanie z IE - wystarczy skorzystać z jednej z opisanych przez Microsoft metod tymczasowego zabezpieczenia programu (tzn. korzystać z funkcji DEP oraz Protected Mode). Koncern przygotował już stosowne instrukcje - ich spolszczoną wersję można znaleźć w blogu Women in Technology. Wprowadzenie stosownych zmian jest proste - wystarczy kliknąć na umieszczone w blogu narzędzie Fix it (po zrestartowaniu przeglądarki zmiany zostaną wprowadzone automatycznie). Dodajmy, że DEP jest domyślnie włączony w IE8 - a to znaczy, że użytkownicy korzystający z tej wersji są zabezpieczeni przed atakiem.
MS: Migracja nie jest taka prosta
To, że Microsoftowi bardzo nie podoba się zachęcanie użytkowników do rezygnacji z jego produktów, nie jest żadną niespodzianką - pewnie tak samo reagowałaby Mozilla na apele o zastąpienie Firefoksa inną przeglądarką. "Autorzy tych zaleceń wydają się zapominać o jeszcze jednej kwestii - dla wielu firm Internet Explorer jest standardem korporacyjnym i dla nich "przesiadka" na inną przeglądarkę jest naprawdę skomplikowanym przedsięwzięciem" - tłumaczy Góralowski. I trudno odmówić mu racji - dla użytkowników biznesowych dużo prostszym rozwiązaniem będzie wprowadzenie niezbędnych zmian do IE. Migracja na alternatywną przeglądarkę to raczej propozycja dla użytkowników indywidualnych, którym nie chce się grzebać w ustawieniach IE.
Kiedy poprawka?
Patryk Góralowski zapewnił nas też, że przygotowanie poprawki (która ostatecznie rozwiąże cały ten problem i ukróci dyskusję na temat sensowności rezygnowania z IE) jest obecnie absolutnym priorytetem Microsoftu. Wiadomo na pewno, że pojawi się ona poza standardowym cyklem publikowania uaktualnień (czyli przed drugim wtorkiem lutego) - prawdopodobnie nastąpi to w najbliższych dniach.
Co na to CERT Polska?
Dowiedzieliśmy się też, że jeszcze dziś własne zalecenie w sprawie luk w IE wyda CERT Polska (czyli organizacja odpowiedzialna za reagowanie na zdarzenia naruszające bezpieczeństwo w sieci Internet). Wiemy już, że CERT nie zarekomenduje polskim użytkownikom całkowitej rezygnacji z IE - "Będziemy zalecać użytkownikom zrezygnowanie z wersji 6, bo to przestarzały program i nikt nie powinien z niego korzystać, tak jak nikt nie używa już dziś Firefoksa 1. Zasugerujemy też wprowadzenie do IE 7 i 8 modyfikacji opisanych przez Microsoft - bo faktycznie pozwalają one na zminimalizowanie zagrożenia. Oczywiście może się zdarzyć, że dla niektórych użytkowników takie rozwiązanie nie będzie optymalne - te osoby powinny rozważyć migrację do jednej z alternatywnych przeglądarek" - powiedział nam Mirosław Maj, szef działającego w ramach NASK zespołu CERT Polska.
Microsoft: Ok, mamy dziurę w IE. Ale inni mają więcej...
Czytaj więcej na technologie.gazeta.pl
Oficjalne stanowisko Microsoft
Właśnie poznaliśmy oficjalne stanowisko Microsoftu w tej sprawie - Patryk Góralowski, odpowiadający w polskim oddziale koncernu za konsumencki rynek Windows, oświadczył w rozmowie z Technologie.gazeta.pl, że komunikaty wspomnianych organizacji wydają się nieprzemyślane i w pewnym sensie wprowadzają w błąd użytkowników. Sugerują bowiem, że na niebezpieczeństwo narażeni są użytkownicy wszystkich dostępnych obecnie wersji IE - tzn. 6, 7 i 8. "Błędy faktycznie występują w trzech wydaniach - ale do tej pory atak przeprowadzono wyłącznie za pośrednictwem luki w IE6. Czyli tej wersji IE, którą sami od dawna próbujemy usunąć z rynku - np. zachęcając użytkowników do instalowania najnowszej, znacznie bardziej bezpiecznej wersji. Luka występuje co prawda również w IE7 i 8 - ale w tym wersjach znajdują się dodatkowe narzędzia zabezpieczające, dzięki którym użytkownik może bez problemu zabezpieczyć się przed atakiem" - tłumaczy przedstawiciel Microsoftu.
MS: zamiast rezygnować, zabezpieczcie IE
Góralowski dodał też, że istnieją znacznie prostsze metody uchronienia się przed atakiem niż rekomendowane przez CERTE czy FBBI zrezygnowanie z IE - wystarczy skorzystać z jednej z opisanych przez Microsoft metod tymczasowego zabezpieczenia programu (tzn. korzystać z funkcji DEP oraz Protected Mode). Koncern przygotował już stosowne instrukcje - ich spolszczoną wersję można znaleźć w blogu Women in Technology. Wprowadzenie stosownych zmian jest proste - wystarczy kliknąć na umieszczone w blogu narzędzie Fix it (po zrestartowaniu przeglądarki zmiany zostaną wprowadzone automatycznie). Dodajmy, że DEP jest domyślnie włączony w IE8 - a to znaczy, że użytkownicy korzystający z tej wersji są zabezpieczeni przed atakiem.
MS: Migracja nie jest taka prosta
To, że Microsoftowi bardzo nie podoba się zachęcanie użytkowników do rezygnacji z jego produktów, nie jest żadną niespodzianką - pewnie tak samo reagowałaby Mozilla na apele o zastąpienie Firefoksa inną przeglądarką. "Autorzy tych zaleceń wydają się zapominać o jeszcze jednej kwestii - dla wielu firm Internet Explorer jest standardem korporacyjnym i dla nich "przesiadka" na inną przeglądarkę jest naprawdę skomplikowanym przedsięwzięciem" - tłumaczy Góralowski. I trudno odmówić mu racji - dla użytkowników biznesowych dużo prostszym rozwiązaniem będzie wprowadzenie niezbędnych zmian do IE. Migracja na alternatywną przeglądarkę to raczej propozycja dla użytkowników indywidualnych, którym nie chce się grzebać w ustawieniach IE.
Kiedy poprawka?
Patryk Góralowski zapewnił nas też, że przygotowanie poprawki (która ostatecznie rozwiąże cały ten problem i ukróci dyskusję na temat sensowności rezygnowania z IE) jest obecnie absolutnym priorytetem Microsoftu. Wiadomo na pewno, że pojawi się ona poza standardowym cyklem publikowania uaktualnień (czyli przed drugim wtorkiem lutego) - prawdopodobnie nastąpi to w najbliższych dniach.
Co na to CERT Polska?
Dowiedzieliśmy się też, że jeszcze dziś własne zalecenie w sprawie luk w IE wyda CERT Polska (czyli organizacja odpowiedzialna za reagowanie na zdarzenia naruszające bezpieczeństwo w sieci Internet). Wiemy już, że CERT nie zarekomenduje polskim użytkownikom całkowitej rezygnacji z IE - "Będziemy zalecać użytkownikom zrezygnowanie z wersji 6, bo to przestarzały program i nikt nie powinien z niego korzystać, tak jak nikt nie używa już dziś Firefoksa 1. Zasugerujemy też wprowadzenie do IE 7 i 8 modyfikacji opisanych przez Microsoft - bo faktycznie pozwalają one na zminimalizowanie zagrożenia. Oczywiście może się zdarzyć, że dla niektórych użytkowników takie rozwiązanie nie będzie optymalne - te osoby powinny rozważyć migrację do jednej z alternatywnych przeglądarek" - powiedział nam Mirosław Maj, szef działającego w ramach NASK zespołu CERT Polska.
Microsoft: Ok, mamy dziurę w IE. Ale inni mają więcej...
Czytaj więcej na technologie.gazeta.pl
