.
Por mais tempo do que alguns de vocês estão vivos, tenho pregado o evangelho do uso de sistemas operacionais de desktop mais seguros. Você vê, o Windows tem sido inseguro desde o Windows 1.0 de 1985, realmente uma extensão do MS-DOS, lançado pela porta. Então, como agora, havia opções mais seguras. Em seguida, foram os sistemas operacionais de desktop Unix. Hoje são desktops Linux.
Por que a Microsoft nunca conseguiu agir em segurança? O problema fundamental é que o Windows nunca foi feito para funcionar em uma rede. Funcionou como um sistema operacional de PC autônomo. E, ainda hoje, 37 anos depois, os mesmos problemas pré-internet continuam aparecendo. Unix e Linux começaram com a premissa de que há mais de um usuário no sistema e você precisa proteger contas e programas de outros usuários, locais ou remotos. Isso serviu bem a esses sistemas operacionais.
Além disso, os desenvolvedores de Redmond podem dizer que reescrevem o código do Windows de baixo para cima para torná-lo mais seguro. Mas, eles não.
Tomemos, por exemplo, a vulnerabilidade de execução remota de código remoto de dia zero da Microsoft, CVE-2022-41128, com uma classificação CVSS (Common Vulnerability Scoring System) de 8,8, é um vilão. Esta é uma falha de segurança da linguagem de script JavaScript do Windows. Especificamente, é um buraco no mecanismo JavaScript JScript9 do Internet Explorer (IE) 11.
Além disso: Os hackers ainda estão encontrando – e usando – falhas no Internet Explorer
É desagradável. Afeta todas as versões do Windows atualmente suportadas. Isso inclui tudo, desde o Windows 8.1 até todos os vários servidores Windows e Windows 11. Desde que apareceu, hackers norte-coreanos o exploraram para infectar usuários sul-coreanos com malware.
Funciona apresentando às vítimas um documento malicioso. Quando um inocente abre o documento, ele baixa um modelo remoto de arquivo rich text (RTF). O HTML interno seria renderizado pelo mecanismo do IE. Então — ta-da! — você tem um caso de algum malware ou outro.
O Grupo de Análise de Ameaças do Google (TAG) que o encontrou disse: “Esta técnica tem sido amplamente usada para distribuir explorações do IE por meio de arquivos do Office desde 2017. A entrega de explorações do IE por meio desse vetor tem a vantagem de não exigir que o alvo use o Internet Explorer como seu navegador padrão.”
Oh, pessoal, é muito, muito mais antigo que isso. Descrevi esse tipo de problema na revista PC Sources, há muito extinta, em 1992, quando o encontrei no Windows for WorkGroup 3.1. Então, como agora, o Windows e seus programas nativos tratavam os dados do documento como instruções de programação.
É por isso que, de acordo com a Atlas VPN, “o Microsoft Office continua sendo o software mais amplamente explorado para distribuição de malware”. Quão ruim é isso? Tente 78,5% de todos os ataques. Office no seu PC, Office 365, não importa. Eles estão todos abertos a ataques.
Agora, então, qual é o elefante na sala que ainda não mencionei? É que o IE se aposentou em junho de 2022. Foi substituído pelo Microsoft Edge.
Além disso: Os melhores laptops Linux
Então, por que diabos todas as versões do Windows estão vulneráveis a um ataque do IE no final de 2022? Não é história? Quero dizer, o IE nunca esteve no Windows 11, de qualquer maneira. Você gostaria de pensar isso, mas não importa qual versão do Windows você está usando, o mecanismo do IE ainda está no Windows e ainda está pronto para executar ataques de JavaScript.
As falhas de segurança fundamentais do Windows nunca foram corrigidas. Eles nunca serão. A compatibilidade com versões anteriores é muito mais importante para a Microsoft do que a segurança. Assim, a empresa continua a jogar um buraco.
Se, como eu, você preferir a segurança à compatibilidade com versões anteriores, executará o Linux. Apesar do que você ouviu, o Linux não é tão difícil de usar. Mas, se você preferir não se esforçar, basta comprar um Chromebook. Qualquer pessoa pode usar um Chromebook e, por ser baseado em Linux, é muito mais seguro.
Histórias relacionadas:
.
