І розробники програмного забезпечення, і користувачі комп’ютерів серйозно стурбовані зростанням кількості кібератак. Користувачі домашніх ПК, малий бізнес і навіть великі компанії втратили мільйони доларів після того, як їхні ПК були захоплені вірусами-вимагателями, такими як Cryptolocker, FBI, Ukash, Locky та багато інших. Хоча атаки програм-вимагачів є найсерйознішими, існує багато інших методів, які хакери використовують для отримання прибутку, шантажуючи людей. Технологічні гіганти, включаючи Microsoft, завжди наполегливо працювали, щоб забезпечити захист користувачів, але, очевидно, Серед хакерів є сотні професійних програмістів, яким вдається використовувати найменшу безпеку вразливості. Це актуальне питання, яке широко обговорюється в Інтернеті і вживаються різні заходи, щоб зупинити хакерів від шахрайства.
Нещодавно Microsoft потрапила в незавидну ситуацію після дослідницької групи з безпеки Project Zero від Google наприкінці листопада виявила серйозну вразливість у веб-браузерах Microsoft Edge та Internet Explorer 2016. Уразливість (індексована як CVE-2017-0038) відома як помилка з плутаниною типів, яка виникає через файл HTML, у якому JavaScript переформатує властивості StyleSheet таблиці HTML. Отже, плутанина типів спричиняє лазівок у безпеці веб-браузера. Як зазначає National Vulnerability Database, ця помилка «дозволяє віддаленим зловмисникам виконувати довільний код за допомогою векторів за участю створеної послідовності токенів каскадних таблиць стилів (CSS) і створеного коду JavaScript, який працює на [заголовок таблиці] елемент».
Project Zero повідомив Microsoft про недолік IE/Edge 25 листопада 2016 року та дав 90 днів на випуск виправлення. В іншому випадку Project Zero оприлюднить деталі уразливості. Корпорація Майкрософт визнала проблему і, ми вважаємо, докладала всіх зусиль, щоб виправити злам, хоча марно. Очікувалося, що виправлення буде випущено з лютневим патчем у вівторок, який, на жаль, було скасовано з поки що невідомих причин. Звичайний вихідний вівторок заплановано лише на березень. Поки Microsoft не випустить виправлення, експерти з безпеки рекомендують людям вживати запобіжних заходів і покладатися на Google Chrome (64-розрядна версія) замість Edge або IE. Крім того, перехід на Windows 10 з попередніх версій також є дуже доцільним запобіжним заходом.
Ще одне гаряче питання, пов’язане з помилкою Microsoft Edge та IE, полягає в тому, чи варто людям довіряти стороннім виправленням чи ні. Компанія Acros Security представила тимчасове виправлення для Internet Explorer і Edge Type Confusion Vulnerability, яке може перешкоджати виконанню шкідливих кодів. Acros Security спрямований на усунення невиправлених уразливостей, продуктів, які не підтримуються, уразливого програмного забезпечення сторонніх розробників тощо. Зазначається, що цей виправлення застосовне до більшості уразливостей, які можна використовувати (наприклад, рядки форматування, бінарне розміщення, ін’єкції DLL, неперевірені буфери, виправлення даних тощо). Тим не менш, Microsoft не рекомендує користувачам Windows довіряти виправленням сторонніх розробників. У той час як розробники Acros Security 0patch стверджують, що патч скасовується, як тільки користувач встановлює офіційний патч, випущений виробником ОС. Однак, за словами спеціаліста з безпеки Кріса Геттла, «як тільки Microsoft випустить виправлення, чи буде воно встановлюватися поверх змін із 0Patch? Якщо виникають якісь проблеми, користувач\компанія залишається в сірій зоні». Тому отримати повну підтримку і все доступні виправлення від Microsoft, вам краще не дозволяти третім сторонам змінювати компоненти Microsoft спосіб.