Zowel softwareontwikkelaars als computergebruikers maken zich grote zorgen over een toenemend aantal cyberaanvallen. Thuis-pc-gebruikers, kleine bedrijven en zelfs grote bedrijven verloren miljoenen dollars nadat hun pc's waren gekaapt door ransomware-virussen, zoals Cryptolocker, FBI, Ukash, Locky en vele anderen. Hoewel ransomware-aanvallen het ernstigst zijn, zijn er tal van andere methoden die hackers gebruiken om winst te maken door mensen te chanteren. Technische giganten, waaronder Microsoft, hebben altijd hard gewerkt om de bescherming van gebruikers te waarborgen, maar blijkbaar er zijn honderden professionele programmeurs onder hackers die de minste beveiliging weten te misbruiken kwetsbaarheden. Dit is een voortdurend probleem, dat veel wordt besproken op internet en er worden verschillende maatregelen genomen om te voorkomen dat hackers mensen oplichten.
Onlangs is Microsoft in een niet-benijdenswaardige situatie beland na het Google's Project Zero-beveiligingsonderzoeksteam heeft eind november een ernstige kwetsbaarheid onthuld in de webbrowsers Edge en Internet Explorer van Microsoft 2016. De kwetsbaarheid (geïndexeerd als CVE-2017-0038) staat bekend als een type-confusion bug, die voortkomt uit een HTML-bestand waarin JavaScript de StyleSheet-eigenschappen van een HTML-tabel opnieuw formatteert. Bijgevolg ontstaat de typeverwarring die de beveiligingslacune van de webbrowser veroorzaakt. Zoals de National Vulnerability Database aangaf, stelt deze bug "aanvallers op afstand in staat willekeurige code uit te voeren via vectoren met een bewerkte Cascading Style Sheets (CSS) token-sequentie en bewerkte JavaScript-code die werkt op een [tabelkop] element."
Project Zero informeerde Microsoft over de IE/Edge-fout op 25 november 2016 en gaf 90 dagen om de patch uit te brengen. Anders zal het Project Zero kwetsbaarheidsdetails openbaar maken. Microsoft heeft het probleem erkend en heeft naar onze mening hard gewerkt om de scheur te verhelpen, maar tevergeefs. De verwachting was dat de fix zou worden vrijgegeven met de Patch Tuesday van februari, die helaas is geannuleerd vanwege nog onbekende redenen. De gebruikelijke Patch Tuesday staat alleen voor maart gepland. Tot Microsoft de patch uitbrengt, raden beveiligingsexperts mensen aan om voorzorgsmaatregelen te nemen en te vertrouwen op Google Chrome (64-bits versie) in plaats van Edge of IE. Bovendien is het overschakelen van eerdere versies naar Windows 10 ook een zeer aan te raden voorzorgsmaatregel om te nemen.
Een andere verhitte vraag met betrekking tot Microsoft's Edge en IE-bug is of mensen patches van derden moeten vertrouwen of niet. Acros Security heeft een tijdelijke patch onthuld voor een Internet Explorer en Edge Type Confusion Vulnerability, die de uitvoering van kwaadaardige codes kan voorkomen. Acros Security is gericht op niet-gepatchte kwetsbaarheden, end-of-life en niet-ondersteunde producten, kwetsbare software van derden en dergelijke. Er wordt op gewezen dat deze patch van toepassing is op de meeste kwetsbaarheden die misbruikt kunnen worden (bijv. formatstrings, binaire aanplant, DLL-injecties, ongecontroleerde buffers, datapatching, enz.). Desalniettemin raadt Microsoft Windows-gebruikers af om patches van derden te vertrouwen. Terwijl de ontwikkelaars van Acros Security 0patch beweren dat de patch is geannuleerd zodra de gebruiker de officiële patch installeert die is vrijgegeven door de OS-leverancier. Echter, volgens Security Professional Chris Goettl, "zal Microsoft, zodra Microsoft een fix uitbrengt, bovenop de wijzigingen van 0Patch installeren? Als er problemen optreden, blijft de gebruiker/het bedrijf in een grijs gebied.” Daarom, om volledige ondersteuning te krijgen en zo beschikbare fixes van Microsoft, kunt u beter niet toestaan dat derden de componenten van Microsoft op welke manier dan ook wijzigen manier.