ESP March 10, 2016 at 10:13 AM

Бюллетень MS16-023: Когда критическое обновление безопасности Windows затрагивает не только безопасность

Information Security

В минувшие дни Microsoft объявили о выпуске новых бюллетеней безопасности в числе которых содержится MS16-023. Задачей данного обновления безопасности является устранение критических уязвимостей в Internet Explorer позволяющих осуществлять исполнение произвольного кода.

Однако, в Microsoft решили, что вместе с критическими обновлениями безопасности своим пользователям так же можно установить и что-нибудь еще…

Все дело в том, что установив на свои компьютеры критическое обновление KB3139929 пользователи Windows 7 и Windows 8.1, помимо устранения уязвимостей, в довесок обнаружат в системном трее назойливое предложение обновиться до Windows 10.

В поисках объяснений происходящему внимательно вчитываемся в описание KB3139929 где нас уведомляют о том, что это обновление безопасности которое содержит правки не относящиеся к безопасности.

Вот так просто и не замысловато, под видом благодетели, в Microsoft предприняли новый шаг по ~~распространению~~ навязыванию как Windows 10, так и компонентов системы в которых пользователь явно не нуждался и получил оттуда откуда совершенно не ожидал.

В заключении хочется отметить тот факт, что обновление прилетает даже с отключением рекомендуемых и получением лишь критических обновлений безопасности. Отсюда можно сделать вывод, что пользователям Windows 7 / 8.1 теперь придется внимательно читать описания к каждому обновлению, дословно изучать бюллетени со всеми зависимостями, дабы убедиться в том, что они установят исключительно заплатки безопасности а не что-нибудь еще.

Only registered users can participate in poll. Log in, please.

Как вы относитесь к подобным действиям со стороны Microsoft?

Подмешивать к критическим обновлениям что-то еще? Считаю, что Microsoft перегибает палку.
Всегда вчитываюсь в список изменений каждой бюллетени. У меня все под контролем.
Отключил предложение обновления до Windows 10 сторонними утилитами. Действия MS не одобряю.
Пусть устанавливают что требуется. Надо значит надо. Прогресс не стоит на месте.
Мне все равно, я на Windows 10 и мне тут хорошо.

Tags:

Comments 57

Londoner March 10, 2016 at 10:24 AM
+32
А где опция "Давно забил на Майкрософт и сижу на Маке/Убунте"?
- valera5505 March 10, 2016 at 11:57 PM
  +1
  Кнопка Воздержаться отлично подходит.
- ilya_pu March 15, 2016 at 04:27 PM
  0
  есть ещё вариант — "сижу в ХР, которая уж точно не просит обновиться до 10" :)
nerudo March 10, 2016 at 10:37 AM
+5
Очень политкорректные варианты в опросе ;)
XogN March 10, 2016 at 10:42 AM
+3
Своими методами навязывания Windows 10 любой ценой, Microsoft напрочь отбивают желание связываться с этой версией оси.
- denis_g March 10, 2016 at 03:47 PM
  +10
  Своими методами навязывания Windows 10 любой ценой, Microsoft напрочь отбивают желание связываться с этой ~~версией оси~~ компанией.
nikitasius March 10, 2016 at 10:47 AM
0
От себя добавлю: если у вас home версия (где апдейты не отрубить), то чтобы не обновляться на весь тот треш, который microsoft подсовывает, достаточно выбрать режим загрузки апдейтов с оповещениями, затем через DWS (destroy windows spying) отрубить обновления системы (заодно и шпионский софт, если еще раньше не сделали), и затем поставить "Windows Update MiniTool", благо она халявная.

Следом при запуске WUMT предложит включить центр обновлений и вам надо будет запросить список апдейтов. Когда список будет отображен достаточно выбрать нужные и прожать "загрузить и установить", после чего (когда все скачается и частично "поставится") запустить DWS и отрубить снова, к чертовой матери, центр обновлений.

Далее после ребута апдейты доставятся.

У меня сие работает на лицензионной домашней десятке, ключ к которой защит в биосе моего ноута.
- ESP March 10, 2016 at 11:48 AM
  +9
  В результате всех проделанных действий Вы все так же стоите перед выбором: досконально изучать описания обновлений или ставить все на zero и потом уже разгребать. Либо ждать "звоночков" с тематических ресурсов.
  Распространение рекламы через рассылку критических обновлений – это конечно новая вершина MS.
  - compdemon March 10, 2016 at 02:09 PM
    
    +2
    С точки зрения MS — это не реклама, а что ни на есть забота о пользователях и их безопасности.
    Типа, переходите на самую-самую мегазащищенную и быструю ОС.
    
    P.S. Недавно столкнулся с "админом старой закалки" у которого до сих пор живет древний комп с NT4 на борту и он рвет на себе рубаху, что для тупого файлового сервера ничего удобнее и защищеннее до сих пор не придумали.
    - grumbler66rus March 15, 2016 at 10:41 AM
      
      0
      
      Он ошибается: придумали Samba :-D
  - nikitasius March 11, 2016 at 01:10 PM
    
    0
    Так никто не отмечает чтение апдейтов. Описанное мною — чтобы винда не ставила все то говно, которе она ставит на атомате.
    - ESP March 11, 2016 at 01:32 PM
      
      0
      
      А как же всевозможные: «Я использую Windows потому что предпочитаю удобство и мне, вообще-то, надо работать» или прочие KISS-принципы?
      
      А то ведь так получается что если Linux-пользователей называют «красноглазиками», то Windows-пользователи в своей удобной системе, видимо, должны так же получить красоту глаз перечитывая описание десятка пакетов безопасности, выясняя зависимости которые за собой притащат эти пакеты. Затем можно и за ~~работу~~ рекомендуемые пакеты приняться.
      - nikitasius March 11, 2016 at 01:44 PM
        
        0
        
        Так не надо обобщать!
        Я использую windows потому, что не хочу ставить steam на свой рабочий дебиан и вообще люблю играть в игрушки + у меня под дебианом в фотошопе не заводится ускорение, правда мне это погоды не делает. Так что только игры.
        
        Если человек привык что за него принимают решение, то ему от моих советов не холодно и не жарко. Он поставит десятку апдейтом с 7/8, поставит скайп, оставит кортану и т.д..
        
        Я же не люблю, когда кто-то навязывает, особенно в такой ультимативной форме (как политика обновления и учета в новой десятке), что мне ставить, что не ставить, как работать, когда выключать, а когда сие будет работать так как слило апдейты. Это неудобства, которые мне критичны.
        
        Поэтому я ставлю только то, что сам хочу и контролирую весь процесс от А до Я.
        
        Да и обновления безопасности — их разве все надо ставить? Полноте. Там большая часть треша и заплаток для багов в их браузере.
        Если что-то серьезное (например сеть), то патч можно накатить. Багы с офисом меня не колышат, у меня libre office стоит, и он бесплатный и на 100% меня устраивает.
        
        Ранее был баг (до 7рки или 8рки включительно) с хаком через нехорошие шрифты — так тут тоже, или ставить патч (ручками скачали и поставили) или просто запретить системе их (=шрифты) подгружать.
        
        Поэтому у меня вырезано все в системе через DWS, апдейты через WUMT, и стоит файрвол zonealarm, которым я контролирую доступ софта в инет, после того, как отредактировал hosts.
- ProstoTyoma March 10, 2016 at 07:41 PM
  0
  Рекомендую тулзу GWX Control Panel. Сидит в трее, отслеживает и избирательно отключает всё касающееся обновления до десятки.
  http://ultimateoutsider.com/downloads/
LaoAx March 10, 2016 at 01:24 PM
+2
Странно. У меня этот Update установлен, но в трее ничего нет. Наверное, пока нет?.. Подождем...
- CaptainFlint March 10, 2016 at 02:52 PM
  0
  Аналогично, обновление KB3139929 установлено, в трее никакой гадости не наблюдается, gwx в системе отсутствует. Win7.
Al_Azif March 10, 2016 at 03:31 PM
0
Нет пункта «у меня отключен Windows Update, ибо всё работает».
- XogN March 10, 2016 at 05:55 PM
  +5
  Нет пункта «у меня отключен Windows Update, ибо всё работает».
  
  У Вас много ошибок во фразе «у меня отключен Windows Update, ибо мне нравится быть частью ботнета»
  - Al_Azif March 10, 2016 at 06:23 PM
    
    0
    У меня отключен Windows Update, и у меня нет никакого ботнета.
    Так вам понятнее, с уточнением?
    - XogN March 10, 2016 at 06:37 PM
      
      +2
      
      и у меня нет никакого ботнета
      
      Пока возможно нет.
      С отключенным Windows Update, если машина имеет выход в сеть, вероятность подобного высока...
      - impetus March 10, 2016 at 10:54 PM
        
        0
        
        Вариант что защита обеспечивается сторонними средствами не рассматриваем?
        
        GeXoGeN March 11, 2016 at 09:40 AM
        
        0
        
        А то что любой антивирус пишет что "система не защищена", если не стоят апдейты винды как вы объясните? Думаю, сторонние средства полагаются (и в момент обнаружения угроз, и во время очистки) на то, что пользователь устанавливает обновления безопасности.
        
        impetus March 11, 2016 at 02:38 PM
        
        0
        
        Ничего подобного. анитвирус одинаково работает вне зависмости от наличия обновлений. И пишет далеко не любой. Ну и по-мелочи всякие Secure DNS и блеклистов ip на роутере тоже.не лишние.
        Вообще вопрос автоматической обновлений винды всего парка подведомственных компютеров — сильно дискуccионный, даже можно сказать холиварный ибо апологеты любого из крайних вариантов всё равно останутся при своём мнении.
        Конретику каждый раз смотреть надо, видал я как умирали на ходу в предновогдний тираж печати разом все машинки с плоттерами из-за того что при автоапдейтах тупо место на диске кончалось (да, амин пролюбил, но от этого было не легче)
        
        Sergey-S-Kovalev March 12, 2016 at 07:42 AM
        
        +1
        
        Вас не смущает, что защищенность антивирусов напрямую зависит от наличия обновлений для ОС? Или такие вещи для Вас не очевидны? :)
    - GeXoGeN March 11, 2016 at 09:38 AM
      
      +1
      
      У меня отключен Windows Update, и у меня нет никакого ботнета.
      
      У меня отключен Windows Update, и я никогда даже не узнаю, что мой компьютер стал частью ботнета.
      - Al_Azif March 11, 2016 at 09:56 AM
        
        –1
        
        Ну если вы дилетант — конечно не узнаете.
        
        >>А то что любой антивирус пишет что «система не защищена», если не стоят апдейты винды как вы объясните?
        Знаю много таких сайтов — пишут то же самое, даже если стоят апдейты. Парадокс.
        
        GeXoGeN March 11, 2016 at 10:15 AM
        
        0
        
        Я не дилетант, поэтому всегда слежу, что бы ПО на моих компьютерах (а так же на тех компьютерах и серверах, которые в случае чего мне же и восстанавливать) имело актуальные версии. Чего и Вам желаю.
        
        Al_Azif March 12, 2016 at 05:04 AM
        
        0
        
        Ну если вы не дилетант — тогда и ненормальную работу оборудования сможете наверное всё же обнаружить, минусатор вы мой?
        Или вы её исключительно с помощью антивирусов обнаруживаете?
        
        Крайний раз, помнится, в карму мне насрал ярый сторонник ежедневных апдейтов на линуксе.
        Наверное это ваша характерная особенность.
        
        Помнится ещё, через год он уже был не столь уверен в необходимости ежедневных апдейтов.
        Видимо дитя подросло и пару раз получило по рукам за свои апдейты.
        
        GeXoGeN March 12, 2016 at 09:17 AM
        
        0
        
        Предмет нашего спора не настолько важен, чтоб я хотя бы зашёл в Ваш профиль. А минус в то место которое нельзя называть всего лишь означает, что кого-то Ваша точка зрения возмутила больше, чем меня.
PavelMSTU March 10, 2016 at 04:51 PM
+7
Данная политика — это объективный критерий упадка Windows как операционной системы...
- esc March 11, 2016 at 11:10 AM
  0
  Или просто оптимизация затрат на поддержку legacy кода. Ведь на автоматическое обновление браузеров на новые версии жалоб не так уж и много, верно? MS хочет чтобы и ОС у юзеров была как можно более свежей. Делает, правда. несколько топорно. Но, полагаю, что результата добьется, большинство пользователей то Хабр и подобные сайты не читают.
safari2012 March 10, 2016 at 05:05 PM
+1
Интересно, когда летом кончится год бесплатного обновления на 10-ку, эти окошки исчезнут или столь MS же агрессивно будет предлагать купить 10-ку за деньги?
- ESP March 10, 2016 at 07:58 PM
  +3
  Начнет подкладывать в обновления lock-sceen'ы вымогающе установить Windows 10. А чо бы нет?
- akrupa March 11, 2016 at 09:11 AM
  +1
  Я не могу сказать наверняка, но, думаю, когда закончится год бесплатного обновления, всех оставшихся просто обновят до десятки не спрашивая))))
- GeXoGeN March 11, 2016 at 10:17 AM
  0
  Поставят всем триалку, а через 30 дней либо покупай, либо платная подписка какая-нибудь.
Sergey-S-Kovalev March 10, 2016 at 05:14 PM
+1
а я наоборот рад новому обновлению, трюки из WinXP начали работать:
```
%windir%\system32\cmd.exe /c taskkill /im gwx.exe /t /f
cd %windir%\system32\gwx\
%windir%\system32\takeown.exe /f %windir%\system32\gwx\gwx.exe
cacls %windir%\system32\gwx\gwx.exe /g %username%:F
rename gwx.exe gwx.exe_
md gwx.exe
```
- ESP March 10, 2016 at 07:54 PM
  0
  Главное чтобы эти всевозможные "фишки" не опустили уровень защищенности системы до уровня Windows XP.
  - Sergey-S-Kovalev March 11, 2016 at 05:29 AM
    
    0
    Я пошел простым путем: поставил все обновления и удалил значок Get Windows 10. И сделал так что бы он не появлялся заменив исполняемый файл на папку с таким же именем.
    Все ровно так же как и в года с WGA в Windows XP. Апдейты ставятся, система не ругается, надоедливых значков нет.
    
    А другие "фишки", код которых я посмотреть не могу, я не использую.
mediagenia March 10, 2016 at 07:37 PM
0
Такие обновления безопасности должны быть в аду
- reji March 10, 2016 at 09:06 PM
  0
  Пожалуйста, пройдите в Ад 2.0, там стоят микроволновые печи вместо устаревших котлов!
rroyter March 10, 2016 at 10:28 PM
0
Повторю свой комментарий:

Ну разве это не забавно? То весь мир пилит МС за поддержку древних браузеров, то теперь их пилят за то что они пытаются юзеров согнать со старых ОСей на новую. И так плохо, и так плохо — может дело не в МС?
- ESP March 10, 2016 at 10:46 PM
  +3
  Вы действительно не видите разницы между "прекратить поддержку старого продукта" и "принудительно согнать"?
  А как на счет "согнать не взирая на не прекратившуюся поддержку"? Или даже "согнать просто чтобы согнать".
  - rroyter March 10, 2016 at 11:49 PM
    
    0
    А вы поставьте себя на место производителя ОС. Вот вам надо согнать всех со старых версий, потому что поддерживать их дорого, а не поддерживать, значит плодить рассадник заразы. Это вы такой продвинутый, и сами можете за себя постоять. А ведь на вас одного есть ещё уйма людей которые понятия не имеют про трояны, вирусы, етс. В конце концов, затрояненные компы негативно влияют на экосистему интернета в целом.
    - impetus March 11, 2016 at 01:09 AM
      
      +1
      
      Добрые дела по-подлому — не делаются.
      Если они десятку внедряют как троян — скорее всего она и есть/будет трояном/ботнетом.
      - rroyter March 11, 2016 at 02:11 AM
        
        –1
        
        Вот же гады! Прямо как гугловцы с Хромом, мозилловцы с Файрфоксом.
navion March 10, 2016 at 11:15 PM
0
А в февральской сборке десятки (10586.164) забыли удалить папку C:\Logs с выгрузками журналов событий от 13.02.2016. У них там вообще тестировщики остались или для десятки "и так сойдёт"?
DanXai March 11, 2016 at 08:56 AM
0
После последнего обновления перестала запускать портативная версия CorelDraw, ругается на компоненты виртуальной машины. Откатил все назад и отключил обновление.
- Sergey-S-Kovalev March 12, 2016 at 07:45 AM
  0
  Вы отличный пример "юзера", у которого "во всем виновата винда".
  - DanXai March 12, 2016 at 06:58 PM
    
    0
    Позвольте спросить, а кто тогда виноват в том, что программа, годами работающая до этого обновления, отказалась запускаться с ошибкой «The app was unable to load a required virtual machine component. Please contact the publisher of this app for more information»?
    - Sergey-S-Kovalev March 13, 2016 at 08:07 AM
      
      +5
      
      Ну явно же указано, где просить помощи: "Please contact the publisher of this app for more information."
      publisher of this app = канадская корпорация Corel, в данном случае.
      Соответственно, нужно всего лишь обратиться в техподдержку или поставить обновление, которое исправит эту проблему.
      
      Но у Вас портативная версия, значится ни о каких обновлениях и техподдержке не может быть и речи, по вполне понятным причинам.
      
      Теперь следите за моей логикой:
      
      Команда добрых людей сделала обертку с реализацией песочницы для большого коммерческого продукта, что бы оно ничего не просило и ни к чему не привязывалась. Вы бесплатно воспользовались тем, что они реализовали.
      
      Обертка для создания песочницы использует какие то компоненты виртуализации, как и виртуальные машины.
      
      Добрые или недобрые люди находят уязвимость в компонентах виртуализации, которые позволяют атаковать хост из гостевой системы или позволяют коду выпрыгивать из песочницы при работе в приложении.
      
      Мелкомягкие чинят эти самые компоненты виртуализации, проводят тестирование, общаются с производителями самого распространенного ПО на предмет сохранения работоспособности их ПО, что бы максимально снизить количество отказов работоспособности ПО.
      
      Обновление повышающее безопасность виртуализации уходит в мир закрывая дыры и спасая миллионы людей от утечки данных или возможности стать частью ботнета.
      
      Находятся недовольные люди, использующие ПО в виде не предусмотренном разработчиками, на которое не установить обновления, совместимость с которым обновления ОС проверить не возможно.
      
      [сорказм] В итоге, конечно, же виноват Микрософт![/сорказм]
      
      Я намеренно не затрагиваю религиозный вопрос связанный с тем покупать или нет. Каждый решает сам, риски известны.
      Но обвинять кого то, при использовании нелегального ПО, что это ПО вдруг перестало работать — это для ИТ-специалиста верх профессиональной некомпетентности. Косвенно агитировать не ставить обновления, особенно если прочитать это могут и не опытные пользователи, являющиеся администраторами своих систем, вообще дно.
      
      Прошу прощения за полотенца текста и, возможно, резкие высказывания. Коллега, но Вы не правы!
      - DanXai March 14, 2016 at 01:48 PM
        
        0
        
        Спасибо за подробный ответ, без сарказма, правда спасибо. Что потратили свое время, аргументировали. Согласен со всем вышеизложенным. Я не ругаю Майкрософт. Просто написал свою проблему, по горячим следам. Пришлось (по крайней мере — временно, пока не найду стабильную версию) из двух зол выбирать наименьшее, в данном случае — потенциальные проблемы с безопасностью против отказа работы программы.
      - Mirth March 15, 2016 at 11:01 AM
        
        +2
        
        Портативная версия ≠ нелицензионная версия. Проблема в следующем: подавляющее большинство вендоров ПО не предоставляют техподдержки по портативным версиям, несмотря на наличие у юзера лицензии.
        
        Sergey-S-Kovalev March 15, 2016 at 12:11 PM
        
        0
        
        Да, все верно, портативная не значит, что она нелегальная.
        
        | несмотря на наличие у юзера лицензии.
        Вот Вы машете "лицензией", аргументируя, что мол купил и "чего хочу того и делаю!", но лицензия же четко обговаривает чего вы можете, а чего нет. Вы же накладываете привычки реального мира, на мир виртуальный. Лицензия говорит, что Вы должны установить, активировать и использовать. Вы заплатили только за это. За портативную сборку, согласно лицензии, Вы не платили, соответственно использовать её у Вас права/лицензии нет.
        
        Я думаю, проблема в том, что они не могут реализовать полноценную техническую защиту лицензии для портативной сборки.
        Если полноценная установка, с активацией копии как бы намекает, что более одного человека в один момент времени использовать программу не сможет, да и обновлять её проще, то с портативной версией это проблема.
        
        Как то так.
        
        Mirth March 15, 2016 at 03:44 PM
        
        +1
        
        За портативную сборку, согласно лицензии, Вы не платили, соответственно использовать её у Вас права/лицензии нет.
        
        Также не было уплачено за:
        
        использование ПО на модуле управления напряжением
        
        размещение на диске D:
        
        размещение в произвольной директории
        
        использование в течение 0-8 часов в промежуток времени между 08:00 и 22:00
        
        использование рабочего места более чем одним оператором
        
        подключение к рабочему месту устройств, не участвующих в работе ПО
        
        использование другого ПО на том же рабочем месте
        
        и многое другое
        
        Лицензия оговаривает права и ограничения. Если то или иное ограничение в ней не оговорено (или оговорено, но противоречит действующему законодательству, а значит, не обязательно для исполнения, т.е. юридически ничтожно), значит, его не существует.
        Проще говоря, если лицензионный договор не предусматривает какого-либо ограничения, то его нет. А вот ответственность производителя (в рамках поддержки, в данном случае), тем не менее, есть. Она никуда не девается даже в тех случаях, когда некоторые детали способа использования ПО отличаются от стандартного порядка.
        
        Если полноценная установка, с активацией копии как бы намекает, что более одного человека в один момент времени использовать программу не сможет
        
        В документе (а лицензионный договор — это документ), то или иное положение, может быть либо оговорено, либо нет. Документы ни на что не намекают и ничего не подразумевают. Это во-первых.
        Во-вторых, если в договоре не прописано ограничение на количество операторов, а прописано только ограничение на количество рабочих мест, то, независимо, от установок и активаций, ПО может быть использовано бесконечным количеством операторов. Если ограничено количество операторов, но не рабочих мест, то владелец лицензии имеет право установить, использовать и требовать поддержки для всех экземпляров программы — даже в тех случаях, когда она установлена на миллиард рабочих мест, хотя производитель этого не предусматривал. Ровно до тех пор, пока ими всеми пользуется оговоренное число операторов.
        
        То есть если бы в лицензионном договоре было указано, что портативная сборка ПО не поддерживается, то у меня не возникало бы никаких вопросов на этот счёт. Но такого пункта там нет, значит, отказывать в техподдержке на этом основании производитель не может, равно как не может отказать на основании языка системы, национальности пользователя и положения звёзд Сад ад-Забих.
        
        Как-то так.
        
        Sergey-S-Kovalev March 15, 2016 at 09:11 PM
        
        0
        
        | Также не было уплачено за
        И тут Остапа понесло (с) народное
        
        | если лицензионный договор не предусматривает какого-либо ограничения, то его нет
        Почти в каждом первом EULA для ПО прописана фраза про "Вы не можете модифицировать/изменять компоненты ПО, реверсинженерить и тд и тп" в том или ином виде. Они там себе такие широкие права выдают, что проще себе записать что можно делать. Коридорчик остается совсем узенький. Вы либо принимаете условия, либо нет. Вне зависимости от заплаченных денег.
        
        Дискуссия, если честно, движется в никуда.
        
        Mirth March 15, 2016 at 11:28 PM
        
        +1
        
        Коридорчик остается совсем узенький. Вы либо принимаете условия, либо нет. Вне зависимости от заплаченных денег.
        
        И изменение системного окружения в нём не оговаривается, а портативизация — это оно и есть. Программу (и компоненты) никто не трогает. Поэтому вполне законно и закономерно ожидать, что этот девственно неизменный продукт будет поддерживаться в окружении А наравне с окружением Б, возмущаться нежеланием производителя выполнять свои обязанности, и требовать немедленно прекратить это занудство. Что вполне реально, кстати, когда имеешь дело с конторами не из сша и не из россии; обидно только, что на это надо тратить столько времени.
darkprof March 15, 2016 at 06:29 PM
0
Не нашел данного обновления в Windows 8.1 Enterprise x64. Видимо пока боятся такое толкать корпоративным клиентам...