Microsoft отказывается выпускать патч для Windows XP

[ALEX(XX)]

К удивлению специалистов по безопасности, компания Microsoft отказалась выпускать патч для недавно обнаруженной уязвимости TCP/IP в Windows XP и Windows 2000. Один из ведущих менеджеров по безопасности программ Microsoft Эдриан Стоун заявил, что этот фрагмент исходников слишком стар, имеет возраст от 12 до 15 лет, и разобраться в коде на этом уровне «просто нереально» [backporting that level of code is essentially not feasible]. Две уязвимости в стеке TCP/IP были обнаружены 8 сентября. Уязвимость затрагивает также Windows Vista, Windows Server 2003 и Windows Server 2008. Для трёх упомянутых систем вышел апдейт MS09-048, а вот к Windows 2000 и Windows XP патча ждать не стоит. Для защиты от вредоносных TCP/IP-пакетов пользователям Windows XP рекомендуется воспользоваться функционалом встроенного файрвола.
Стоит отметить, что на сегодняшний день Windows XP — самая популярная в мире ОС. По условиям пользовательского соглашения, Microsoft обязана выпускать апдейты безопасности для Windows XP вплоть до апреля 2014 г..
Отказ устранять найденную уязвимость для системы, которая находится на поддержке — довольно редкое явление. Стоун сказал, что последний раз Microsoft шла на такой шаг в марте 2003 года с Windows NT 4.0

securitylab.ru

PS: Имхо, дело в принудительном переводе народа (особенно крупных клиентов, которых волнует ИБ) на новые ОС

[Karlson]

интересно, вот из-за этого:

По условиям пользовательского соглашения, Microsoft обязана выпускать апдейты безопасности для Windows XP вплоть до апреля 2014 г..

кто-нибудь на них в суд подаст?

[Kuzz]

С хабра, вроде более-менее правильно:

Q: Regarding MS09-048: We still use Windows XP and we do not use Windows Firewall. We use a third party vendor firewall product. Even assuming that we use the Windows Firewall, if there are services listening (such as remote desktop) wouldn't then Windows XP be vulnerable to this? If so, why is there no patch for XP? If not, why not?
A: An update for Windows XP will not be made available. The DoS attack requires a sustained flood of specially crafted TCP packets, and the system will recover once the flood ceases. This makes the severity Low for Windows XP. Servers are a more likely target for this attack, and your firewall should provide additional protections against external exploits. Windows XP is not affected by CVE-2009-1925.

Вкратце, проблема основной уязвимости в том, что с помощью DoS флуд-сообщений в Windows Vista и Windows Server 2008 можно запустить произвольный код, тогда как в Windows XP возможно лишь замедление работы, но код запустить нельзя. Замедление нивелируется сразу как только компьютер перестанут флудить.

Также говорится о том, что обычным пользователям волноваться не о чем, поскольку в конфигурации по умолчанию в Windows XP нет прослушивающих сеть служб, посему компьютеры большинства людей не уязвимы.

habrahabr.ru

Добавлено через 10 минут

Автор, учи английский. Там речь идет о невозвожности бекпорта исправлений из нового кода (2003, 2008, Win7) в старый (WinXP). Это не значит что они вообще не будут это фиксить в ХР.

habrahabr.ru

ЗЫ. А вот мне интересно.. Если ХР = 5.1 а 2к3 = 5.2 неужели бекпорт так сложен?
Вроде с ХР на 2к3 не переписывали стек... А вот оно как..

[PavelA]

PS: Имхо, дело в принудительном переводе народа

- думается что это именно Имхо