Google obviňuje Microsoft z laxního přístupu k záplatování starších řad Windows. Kde leží pravda?

Nechci „spoilerovat“, ale vy už dávno víte, že pravdu najdete někde uprostřed. Z mého pohledu je to tak také v tomto případě.

13
Hesla

Boje mezi Googlem a Microsoftem pokračují. První jmenovaná firma se opřela do Redmondských kvůli přístupu k záplatování Windows. Ve dlouhém příspěvku se Mateusz Jurczyk, bezpečnostní výzkumník a člen skupiny kolem projektu Zero, rozepsal o tom, jak Microsoft stejné chyby neopravuje ve všech verzích Windows.

Na konkrétním příkladu dokládá, že zatímco byla díra dříve opravena v Desítkách, Sedmičky a Osmičky opravu získaly o několik měsíců později.

Rutinní opravy a nové zabezpečovací prvky

V tomto bodě bych rád podotkl, že ale musíme rozlišovat dva aspekty. Za prvé, ve více systémech se nachází stejná chyba, kterou pak Microsoft dodatečně opraví. Ve druhém případě je operační systém bezpečnější díky přidaným bezpečnostním prvkům v nových hlavních verzích Windows, díky nimž tak stejné chyby nemusí být v novějším systému zneužitelné.

Každý rok opakuje Microsoft (analogicky by se to dalo prohlásit snad o každým výrobci operačních systémů), že nejnovější verze Windows jsou nejbezpečnější – právě díky novým zabezpečovacím prvkům. Nelze očekávat, že by tyto prvky výrobce přidával zpětně do starších řad systému. Proto i novinářská obec k důvodům upgradu zpravidla vyzdvihuje lepší zabezpečení, protože zatímco se ve starších systémech pouze lepí nalezené díry, nové řady Windows proaktivně vytváří další úrovně ochrany.

Proto již od vydání platí, že Osmičky jsou bezpečnější než Sedmičky a že Desítky jsou bezpečnější než Sedmičky i Osmičky. (Teoreticky se může zabezpečení nové verzi zhoršit, ale takový scénář si lze představit jen velmi stěží.) Proto jakékoli zjištění, že Windows 7 je dnes méně bezpečný než o téměř 10 let mladší systém, nemůže být nikdy překvapivé. Je to dané vývojem a životním cyklem softwaru.

Které verze Windows jsou děravé?

I zmíněný výzkumník z Googlu našel několik souvisejících děr v GDI+. Pokud vysledujeme s problémem spojené označení slabého místa v zabezpečení CVE-2017-8677, aspoň podle oficiálních informací zjistíme, že tato díra byla nalezena ve Windows 7, 8.1 a ve všech vydáních Desítek od prvního po zatím poslední (tj. Creators Update). Všechny uvedené i další verze Windows byly záplatovány 12. září 2017.

S GDI+ je spojeno ještě několik dalších dílčích děr. Některé jsou oficiálně hlášené jen ve Windows 7 a 8.1, tj. nikoli ve Windows 10. Týká se to např.  CVE-2017-8680. Je obtížné hodnotit díru ve vztahu k Desítkám, neboť podle oficiálního záznamu mj. tato díra v Desítkách přítomna nebyla, nebylo tudíž co opravovat. Např. CVE-2017-8688 se opět dotýká starších i novějších řad Windows, i v tomto případě byla oprava všem systémům shodně nabídnuta 12. září.

Nové řady Windows zpravidla přidávají nové bezpečnostní prvky, takže je systém bezpečnější
Nové řady Windows zpravidla přidávají nové bezpečnostní prvky, takže je systém bezpečnější

Z těchto informací vyplývá, že pokud se díra v systému vyskytovala, byla opravena shodně ve všech podporovaných a zároveň dotčených řadách Windows. Výzkumník z Googlu tvrdí, že zatímco Microsoft implementuje nové bezpečnostní prvky pouze do poslední řady Windows (což je podle mě zcela v pořádku), děje se to stejné někdy též v případě obyčejných bezpečnostních záplat. Kdyby Microsoft v tomto směru starší, ale stále podporované řady Windows zanedbával, to by v pořádku nebylo.

Díry, které oficiálně (ne)existují

Jurczyk zanalyzoval nahlášené slabé místo v zabezpečení Windows (záznam č. 1267 v nástroji na sledování problémů v projektu Zero). Došel k závěru, že díra, na níž narazil ve Windows 7 a 8.1, byla ve Windows 10 již opravena. V tomto případě víme, že díra v Desítkách nebyla přítomna koncem května.

Zato v Sedmičkách a Osmičkách byla vyřešena až pomocí aktualizací KB4038777/KB4038779KB4038792/KB4038793 pro Windows 7 a 8.1 (díra je asociována s již zmíněným záznamem CVE-2017-8680). Dvojice záplat však byla uvolněna 12. září 2017. Tato zjištění naznačují, že oficiálně Microsoft nepřiznal, že se díra v Desítkách nacházela. Reálně ovšem existovat musela, takže ji potichu opravil dřív, zatímco starší řady Windows čekaly na záplatu do září.

To nezní jako dobrý přístup, když se bavíme o oficiálně podporovaných produktech. Na druhou stranu neznámé díry nikdo nezneužívá. Google dává každému výrobci softwaru 90 dní na to, aby nalezenou díru opravil. (Což je podle některých šibeniční termín.) Po skončení lhůty nesmlouvavě odhaluje detaily, takže crackerským entitám vlastně dává návod, jak něco nahackovat.

Závěr

Zmíněné slabé místo v zabezpečení bylo Microsoftu nahlášeno na konci května, záplaty se Windows 7 a 8.1 dočkal v polovině září. To jsou zhruba tři a půl měsíce. Záplata pro starší Windows tedy vyšla krátce po zveřejnění detailů o příslušné díře v systémech. Samotný proces opravování v tomto ohledu Redmondští zvládli bez výraznějších potíží.

Ačkoli se Microsoftu nechci za každou cenu zastávat, lze pochopit, že největší úsilí věnuje nejčerstvějšímu produktu. Pokud se o chybě veřejně nevědělo, neměl ji kdo zneužít. A když na ni přišel Google, tj. stala se veřejně známým problém, záplata k systémům se staršími řadami Windows v rozumném čase doputovala. To je podle mě to hlavní – jde z větší části o přístup k řešení nahlášených problémů.

Přehnaná hysterie v tomto případě dle mého názoru není namístě. Jak jsem navíc uvedl na začátku, každá nová řada Windows je z logiky věci a od samého začátku bezpečnější než předchozí. Platí to také pro jednotlivá vydání Desítek.

Google obviňuje Microsoft z laxního přístupu k záplatování starších řad Windows. Kde leží pravda?

Ohodnoťte tento článek!

13 KOMENTÁŘE

  1. „Pokud se o chybě veřejně nevědělo, neměl ji kdo zneužít.“

    Naprosto nesmyslna veta, nebot pokud se o chybe verejne nevedelo, nevedeli jste, zda ji nekdo nezneuzil, ale rozhodne neplati, ze ji nekdo zneuzit nemohl!

    Jinak ma asi v tomto Google pravdu, Microsoft podporuje vsechny systemy a vsem by mel davat opravy, co nejdrive to bude mozne, ale aby nejnovejsi Win10 dostaly opravu v kvetnu a zbytek v zari, tak to evidentne na to Microsoft u starsich podporovanych systemu kaci.

      • Nemůže? A kdo přenesl povinnost aktualizací jádra androidu na výrobce? Proč Windows má aktualizační kanál a je jedno jestli je to na Aceru, Asusu nebo HP. Tohle by android mít nemohl? Aktualizovat to co je společné skrze aktualizační kanál. Jakási rádoby varianta je ten jejich gplay services, ale pořád je to k smíchu. Bohatě by stačil aktualizační kanál na dobrovolném principu, pár lidí s vaším typem telefonu to otestuje a vy si to pak stáhnete taky. Ale to by bylo zlepšení, to je proti politice googlu. Ten potřebuje všechno mrvit.

        • I Windows 10 se na některých x86/x64 PC odmítnou nainstalovat kvůli nekompatibilitě s hardwarem. Stejný problém, ale v mnohem větší míře, mají zařízení s Androidem, kdy binární a uzavřené ovladače nejsou kompatibilní s novějším jádrem Linuxu. Výrobci SoC to tak dělají záměrně aby nepřišli o know-how a aby jejich staré a dávno prodané produkty rychle zastaraly a mohli prodávat nové. Vinu primárně nesou výrobci telefonů, kteří kupují co nejlevnější komponenty, kteréžto nemají ovladače v jádře. Google by ze své pozice ale měl dělat více. Snad by mohl přinést zlepšení projekt Android One.

          • Tohle co rikas, by byla pravda, kdyby slo jadro aktualizovat u Qualcommu, ktery pravidelne nove ovladace novych verzi jadra vydava. Ale oficialne to nejde. Jde to jen na customROM, kde to umozni vyvojar komunitni verze.
            Vina vyrobcu telefonu je nepopiratelna, ale Google to neomlouva, protoze ikdyz ovladace jsou, tak to aktualizovat nejde, Google s necim takovym vubec nepocita.

      • Mě jako zákazníka nezajímá co si Google v Androidu vůči výrobcům nastavil. Z mého pohledu to je „tady máte zdarma Android a dělejte si co chcete, nám jsou zákazníci u zadku“.
        Tahle situace tu je několik let a zatím nevidím hmatatelný posun vpřed.

  2. „Pokud se o chybě veřejně nevědělo, neměl ji kdo zneužít.“
    To, že zranitelnost není zveřejněna bílými klobouky ještě neznamená že ji neznají ti druzí (objevili ji nezávisle dříve sami).

    Nebylo by logické, aby MS chyby záplatoval v pořadí podílu verzí na trhu (W7, W10, ….)? Když již není údajně schopen vydat opravy najednou.

    • Fér k zákazníkům by bylo záplatovat všechny verze současně a to co nejdříve. Chápu Microsoftu, že dává prioritu W10, protože z W10 mu plynou aktuální příjmy, ale jako zákazníkovi se mi to nelíbí. Tři a půl měsíce také o něčem svědčí. V linuxových distribucích mají maintaneři reakce v řádu hodin a když oprava ještě neexistuje, jsou dotčené komponenty/služby speciální aktualizací automaticky (dočasně) vypnuty.

  3. Google je alibista. Sami nejsou schopni udělat kvalitní Android.
    A k podpoře Windows, no vývoj software jde pořád dopředu. Microsoft má naprosto jasně popsán systém základní a rozšířené podpory. Zároveň samozřejmě bude preferovat nejrychlejší podporu pro aktuální systém.
    To že někteří uživatelé, nepochopili systém upgrade, je jejich problém. Ale přechod na Windows 10 byl umožněn, velké většině z nich, a to i vč. Windows 7, na které skončila základní podpora v roce 2015. A ta údajná nekompatibilita, je velmi malá. Tím tedy nemyslím firemní aplikace.
    Jinak Microsoft dnes již vyvíjí dvě nové budoucí verze Windows 10 1804 a 1809. Těžko bude podporovat ze sentimentu staré a neaktuální verze. To samozřejmě neplatí o platících zákaznících, kteří mají placenou podporu.
    Jinak podpora (lifecycle) jednotlivých revizí Windows 10 je plánována na 18 měsíců.

  4. Ten článek obsahuje celou řadu naprosto úsměvných zkratkovitých a „zkratovitých“ úvah. A není to jen ten blábol o nezneužívání neuveřejněných chyb — to jsou mimochodem nejnebezpečnější chyby, protože nikdo neví kdo je odhalil a hlavně nikdo neví, že se proti nim musí bránit a navíc nemá jak je opravit, obzvlášť v proprietárním molochu jako je Windows.

    Ale už hned na začátku ta sluníčková „proaktivní“ ochrana v nových verzích. A hen, čo také si, Kefalín, pod tou „proaktivní ochranou“ predstavujete? Nasadíme na gumu ještě jednu? To, že je software v nové verzi, vůbec neznamená, že obsahuje vyšší míru zabezpečení. Naopak ty nové a neodzkoušené technologie jsou potenciálně větší riziko. Je v tom spousta nového kódu, který může obsahovat mnohem zákeřnější problémy a vytvářet celý nový velký backdoor, který bagatelizuje význam dříve vybudované ochrany… Ne nadarmo jsou stabilní operační systémy jako třeba Debian vydávány se staršími a důkladně odzkoušenými verzemi software.

    Jinak mi celá ta hádka připomíná hádku dvou malých dětí na pískovišti, kterým se ani jednomu nedaří upatlat bábovičku a napadají jeden druhého, že není tak šikovný, aby postavil mrakodrap.