W środę Microsoft przedstawił swoje plany wycofania skryptów VBS (Visual Basic Script) w drugiej połowie 2024 r. na rzecz bardziej zaawansowanych rozwiązań, takich jak JavaScript i PowerShell.
„Technologia rozwijała się przez lata, dając początek potężniejszym i bardziej wszechstronnym językom skryptowym, takim jak JavaScript i PowerShell” – powiedział kierownik programu Microsoft Naveen Shankar. „Te języki oferują szersze możliwości i lepiej nadają się do nowoczesnych zadań związanych z tworzeniem stron internetowych i automatyzacją”.
Omawiany język skryptowy, znany także jako Visual Basic Scripting Edition, został wprowadzony przez firmę Microsoft w 1996 roku jako składnik systemu Windows, oferujący użytkownikom możliwość automatyzacji zadań i tworzenia interaktywnych stron internetowych przy użyciu przeglądarek Internet Explorer i Edge.
Ogłoszony plan wycofywania składa się z trzech etapów. Pierwsza faza rozpocznie się w drugiej połowie 2024 r., kiedy to VBScript będzie dostępny jako funkcja na żądanie w systemie Windows 11 24H2. W drugiej fazie, która ma się rozpocząć około 2027 r., funkcja ta będzie nadal dostępna na żądanie, ale nie będzie już domyślnie włączona. Oczekuje się, że VBScript zostanie całkowicie wycofany i wyeliminowany z systemu operacyjnego Windows w bliżej nieokreślonym terminie w przyszłości. Możemy szacować, że będzie to 2029/2030 rok.
Oznacza to, że wszystkie biblioteki dll języka VBScript zostaną usunięte. W rezultacie projekty oparte na języku VBScript przestaną działać. Microsoft oczekuje, że do tego czasu deweloperzy i administratorzy Windows przełączą swoje funkcjonalności na zaproponowane alternatywy.
Dynamiczny rozwój sytuacji nastąpił kilka dni po tym, jak Microsoft potwierdził swoje plany wycofania NT LAN Manager (NTLM) z Windows 11 w drugiej połowie roku na rzecz nowszego i bezpieczniejszego protokołu Kerberos – chodzi oczywiście o uwierzytelnianie na stacji roboczej.
Wiadomo, że zarówno NTLM, jak i VBScript są wykorzystywane przez cyberprzestępców do prowadzenia złośliwych działań, co skłoniło firmę z Redmond do usunięcia funkcji w celu zminimalizowania powierzchni ataku.
W ostatnim czasie Microsoft wyłączył także makra programu Excel 4.0 (XLM) i makra języka Visual Basic for Applications (VBA), zablokował dodatki XLL i wdrożył opcję uniemożliwiania użytkownikom otwierania ryzykownych rozszerzeń plików w programie OneNote.
Skąd takie działania Microsoftu?
Wiadomość o wycofaniu VBScript jest również następstwem krytyki, zgodnie z którą nowo ogłoszona przez firmę Microsoft funkcja przywracania oparta na sztucznej inteligencji wywołuje obawy dotyczące prywatności i podważa bezpieczeństwo systemu Windows.
Funkcja ta nazwa się Recall i jest reklamowana jako „możliwa do zbadania oś czasu przeszłości komputera” i sposób, w jaki użytkownicy mogą uzyskać „wirtualny dostęp do tego, co widzieli lub robili na swoim komputerze, w sposób przypominający fotograficzną pamięć”. Obecnie jest dostępna tylko na komputerach PC Copilot+.
Według własnej dokumentacji Microsoftu komponent systemu Recall okresowo zapisuje migawki aktywnego okna użytkownika i przechowuje je lokalnie. Następnie wykorzystuje segmentację ekranu i rozpoznawanie obrazów w celu wydobycia z nich wniosków i zapisywania danych w indeksie semantycznym. Zewnętrzni twórcy aplikacji mogą również wykorzystać tę funkcję, oferując użytkownikom możliwość semantycznego przeszukiwania zapisanych migawek i ujawniania treści związanych z ich aplikacjami.
Microsoft szybko doprecyzował, że Recall przetwarza zawartość lokalnie na urządzeniu, a migawki są szyfrowane za pomocą funkcji Device Encryption lub BitLocker. Zaznaczył również, że migawki nie są udostępniane innym użytkownikom zalogowanym do systemu Windows na tym samym urządzeniu.
„Recall nie zapisuje żadnych treści z Twojej prywatnej aktywności związanej z przeglądaniem, gdy korzystasz z Microsoft Edge, Google Chrome lub innych przeglądarek opartych na Chromium” – stwierdziła firma. „Recall podobnie traktuje materiały chronione systemem zarządzania prawami cyfrowymi (DRM)”.
Jednak jednym z kluczowych zastrzeżeń związanych z Recall jest to, że nie moderuje treści, co oznacza, że nie zakryje treści znajdujących się w poufnych dokumentach ani poufnych informacji, takich jak hasła lub numery kont finansowych wprowadzanych na stronach internetowych, które nie przestrzegają standardowych protokołów internetowych, jak maskowanie wprowadzania haseł.
Badacz bezpieczeństwa Kevin Beaumont opisał Recall jako „keylogger […] wbudowany w system Windows” i stwierdził, że brak barier ochronnych może pozwolić podmiotom zagrażającym, które już naruszyły system w inny sposób, na kradzież migawek i zebranie cennych informacji.
Z ciekawością czekamy na rozwój technologii Copilot oraz Recall na systemach Microsoft Windows.