Директор отдела Microsoft по технологиям безопасности Джефри Джонс (Jeffrey Jones) в своем выступлении на конференции TechEd, прошедшей в Орландо две недели назад, сообщил о том, что скоро должен быть выпушен отчет об обнаруженных уязвимостях в Windows Vista за первые шесть месяцев после выхода новой ОС на потребительский рынок.

Основной темой этого выступление было то, что, по информации Национальной базы данных США по уязвимостям (US National Vulnerability Database), Windows Vista обнаружила в себе гораздо меньшее число уязвимостей защиты за срок в шесть месяцев не только по сравнению с Windows XP за тот же период после релиза, но и в сравнении с Red Hat Enterprise Linux 4 WS, Ubuntu 6.06 Long Term Support Desktop, Novell SUSE Linux Enterprise Desktop 10 и Mac OS X 10.4 (Tiger).

Хотя эти статистические данные в целом не лишены смысла, возмущение вызвало в основном их интерпретация Джонсом.

Цитируя его выступление на TechEd, Джонс сказал, что Red Hat исправила 281 уязвимостей в Enterprise Linux 4 за первые шесть месяцев после его появления, включая те, которые были еще до релиза, при этом имелось еще 65 известных ошибок безопасности, которые к тому периоду не были исправлены. Для сравнения, группа по технологиям защиты Windows Vista изучила и исправила 12 уязвимостей в течение первых шести месяцев после релиза, хотя остались не разрешенными еще 13 обнаруженных проблем с различными степенями серьезности.

На следующий день после представления Джонсом своего отчета начали появляться критические статьи по этому поводу. В одних говорилось примерно следующее: "Red Hat 4: 346; Windows Vista: 25. Windows Vista гораздо более безопасна, чем Linux". В других же было следующее: "Red Hat 4: обнаружено 81%; Windows Vista: 48%. Windows Vista насквозь пронизана уязвимостями".

Джонс усугубил свое положение не только тем, что не стал делать выводы, что явилось поводом для последующих дискуссий, но и тем, что опустил некоторые детали с целью придать большую достоверность тезису о том, что Windows Vista является более безопасной.

В своем отчете, который можно было в целом обозначить как плохие новости для Red Hat, Джонс написал: "Как вы можете видеть, ситуация с Windows Vista складывается лучше, чем с ее предшественником, к тому же новая ОС содержит меньше уязвимостей, чем дистрибутивы Enterprise Linux и новейший релиз Mac OS X".

Главной идеей здесь является то, что большое число обнаруженных и решенных проблем только увеличивает "степень уязвимости" операционной системы. Присутствующие на выступлении Джонса на TechEd, включая и тех людей, которые отнесли себя к лояльным администраторам Windows, характеризовали эти данные как не имеющие за собой доказательств. Основываясь только на том, что проблема не обнаружена, мы не можем сделать вывод о том, что ее не существует.

С другой стороны, многие из тех проблем, которые группа Джонса обнаружила в Windows Vista в период beta-тестирования, так и остались нерешенными в финальном релизе. Хотя Джон и считает, что некоторые проблемы, которые считаются уже известными Microsoft, нельзя повышать до статуса "уязвимостей".

Есть еще и другой вопрос, каким образом уязвимости могли быть зарегистрированы в базе данных NVD. Ведь в своем докладе Джонс указывает, что уязвимости Windows Vista изначально обнаруживаются с помощью собственных исследований Microsoft. Для сравнения, многие из присутствующих на выступлении говорили о том, что уязвимости Linux чаще всего обнаруживаются open source-сообществом. Они могут стать частью публичной базы данных еще до того, как вендоры обратят на них внимание.

Кроме того, часть выступления Джонса вообще можно было сократить до фразы "Далее впишите, какие проблемы возникли у вас". Одна из сносок относительно справедливости данных об обнаруженных уязвимостях по сути дела указывает на то, что Джонс и сам признавал, что в этих данных есть много неопределенного:

"Разрешить проблему сложнее, чем обнаружить ее" - пишет Джонс - "чтобы зафиксировать ошибку достаточно всего лишь проверить сайт вендора, но для того, чтобы исправить ее, нужно проверить множество мест, откуда могла появиться эта ошибка и уже после этого утверждать, что речь идет об уязвимости. Мы тщательным образом отслеживаем все возможные ошибки, но если кто-то обнаружит какую-либо уязвимость, которая ускользнула от нас, мы учтем этот факт и выпустим соответствующее обновление".

На другой сессии TechEd Джонс совместно с Майклом Говардом (Michael Howard), менеджером безопасности программ Microsoft, провели очень убедительное выступление на тему усовершенствований в защите Windows Vista. Говард говорил о таких особенностях защиты Windows Vista, как случайная загрузка адресного пространства и предотвращение запуска данных на выполнение (DEP), хотя на счет последнего Говард высказал сожаление о том, что они не могут использовать его в Internet Explorer 7, потому как страницы, в которых используются Flash, Acrobat и другие продукты от Adobe, не смогут работать на IE7 со включенным DEP.

Именно об этих технических особенностях Джонс и говорил в конце своего более чем часового выступления. Джонс сделал заявление, которое фактически противоречило его собственной позиции о том, что Windows Vista является более безопасной, чем XP, сказав о том, что пять лет назад на исправление ошибок в XP было направленно гораздо меньше средств, чем это было нужно.

"Я говорю о том, что сегодняшний процесс обнаружения ошибок стал гораздо эффективнее по сравнению с тем, который был во времена XP" - сказал Джонс. "Так что теперь у нас более жесткие условия конкуренции. Но даже при этом все же имеется какой-то прогресс".