Есть веские причины, заставляющие известных экспертов по безопасности нервничать, когда какое-либо ПО комплектуется сторонними программами: ведь последние могут включать в себя уязвимости, которые компании не всегда способны контролировать. И Microsoft, к сожалению, лишний раз доказала обоснованность подобных опасений.
Исследователь из Google Тэвис Орманди (Tavis Ormandy) обнаружил, что образ Windows 10 комплектовался утилитой для управления паролями, Keeper, которая включала дополнение для браузера с серьёзной уязвимостью: вредоносные веб-ресурсы могли просто красть пароли. Копия ОС господина Орманди — официальный образ MSDN для разработчиков, но пользователи ресурса Reddit сообщают, что некоторые из них получили копию Keeper с уязвимостью после свежей установки ОС и даже с купленными в магазинах ноутбуками.
Представитель Microsoft сообщил журналистам ресурса Ars Technica, что команда разработчиков Keeper уже выпустила заплатку, закрывающую уязвимость (в ответ на сообщение Тэвиса Орманди, сделанное ранее в частном порядке). Так что пользователи актуального ПО не должны сталкиваться с проблемой. Вдобавок, чтобы стать объектом атаки, необходимо заранее включить дополнение для браузера.
Впрочем, существование дыры по-прежнему ставит важный вопрос: проводит ли Microsoft настолько же тщательные тесты безопасности сторонних приложений, как и своего ПО? Компания не стала давать комментариев на этот счёт. Но вопрос серьёзный, потому что не важно, насколько код самой Microsoft безопасен, если в комплекте могут поставляться приложения со столь серьёзными уязвимостями.
Источник: 3DNews