Sia gli sviluppatori di software che gli utenti di computer sono seriamente preoccupati per un numero crescente di attacchi informatici. Gli utenti di PC domestici, le piccole imprese e persino le grandi aziende hanno perso milioni di dollari dopo che i loro PC sono stati dirottati da virus ransomware, come Cryptolocker, FBI, Ukash, Locky e molti altri. Sebbene gli attacchi ransomware siano i più gravi, ci sono molti altri metodi che gli hacker utilizzano per trarre profitto ricattando le persone. I giganti della tecnologia, inclusa Microsoft, hanno sempre lavorato duramente per garantire la protezione degli utenti, ma a quanto pare, ci sono centinaia di programmatori professionisti tra gli hacker che riescono a sfruttare la minima sicurezza vulnerabilità. Questo è un problema in corso, ampiamente discusso su Internet e vengono prese varie misure per impedire agli hacker di truffare le persone.
Di recente, Microsoft è caduta in una situazione non invidiabile dopo che il team di ricerca sulla sicurezza di Project Zero di Google ha rivelato una grave vulnerabilità nei browser Web Microsoft Edge e Internet Explorer alla fine di novembre 2016. La vulnerabilità (indicizzata come CVE-2017-0038) è nota come bug di confusione del tipo, che deriva dal file HTML in cui JavaScript riformatta le proprietà StyleSheet di una tabella HTML. Di conseguenza, la confusione del tipo ha origine causando la scappatoia di sicurezza del browser web. Come sottolineato dal National Vulnerability Database, questo bug "consente agli aggressori remoti di eseguire codice arbitrario tramite vettori che coinvolge una sequenza di token Cascading Style Sheets (CSS) e un codice JavaScript creato che opera su un [table-header] elemento."
Project Zero ha informato Microsoft del difetto di IE/Edge il 25 novembre 2016 e ha concesso 90 giorni per rilasciare la patch. In caso contrario, Project Zero divulgherà pubblicamente i dettagli della vulnerabilità. Microsoft ha riconosciuto il problema e, crediamo, stava lavorando duramente per risolvere il crack, anche se invano. Era previsto che la correzione venisse rilasciata con il Patch Tuesday di febbraio, che, purtroppo, è stato annullato per motivi ancora sconosciuti. Il consueto Patch Tuesday è previsto solo per marzo. Fino a quando Microsoft non rilascerà la patch, gli esperti di sicurezza consigliano alle persone di adottare misure precauzionali e di affidarsi a Google Chrome (versione a 64 bit) anziché a Edge o IE. Inoltre, passare a Windows 10 da versioni precedenti è anche una misura precauzionale altamente consigliabile da adottare.
Un'altra domanda accesa relativa al bug di Microsoft Edge e IE è se le persone dovrebbero fidarsi o meno delle patch di terze parti. Acros Security ha svelato una patch temporanea per Internet Explorer e una vulnerabilità legata alla confusione dei tipi di Edge, che potrebbe impedire l'esecuzione di codici dannosi. Acros Security si rivolge a vulnerabilità senza patch, prodotti non supportati e non supportati, software di terze parti vulnerabile e simili. Si sottolinea che questa patch è applicabile per la maggior parte delle vulnerabilità sfruttabili (ad esempio stringhe di formato, impianto binario, iniezioni di DLL, buffer non controllati, patch di dati, ecc.). Tuttavia, Microsoft non consiglia agli utenti Windows di fidarsi delle patch di terze parti. Mentre gli sviluppatori di Acros Security 0patch affermano che la patch è stata annullata non appena l'utente installa la patch ufficiale rilasciata dal fornitore del sistema operativo. Tuttavia, secondo il professionista della sicurezza Chris Goettl, "Una volta che Microsoft rilascerà una correzione, verrà installata sopra le modifiche da 0Patch? Se si verificano problemi, l'utente/azienda si trova in un'area grigia". Pertanto, per ottenere il pieno supporto e tutto correzioni disponibili da Microsoft, faresti meglio a non consentire a terzi di modificare i componenti di Microsoft in qualsiasi modo.