Menu dostępności

Microsoft zapowiedział wycofanie VBScript na Windows

Microsoft zapowiedział wycofanie VBScript na Windows

W środę Microsoft przedstawił swoje plany wycofania skryptów VBS (Visual Basic Script) w drugiej połowie 2024 r. na rzecz bardziej zaawansowanych rozwiązań, takich jak JavaScript i PowerShell.

„Technologia rozwijała się przez lata, dając początek potężniejszym i bardziej wszechstronnym językom skryptowym, takim jak JavaScript i PowerShell” – powiedział kierownik programu Microsoft Naveen Shankar. „Te języki oferują szersze możliwości i lepiej nadają się do nowoczesnych zadań związanych z tworzeniem stron internetowych i automatyzacją”.

Omawiany język skryptowy, znany także jako Visual Basic Scripting Edition, został wprowadzony przez firmę Microsoft w 1996 roku jako składnik systemu Windows, oferujący użytkownikom możliwość automatyzacji zadań i tworzenia interaktywnych stron internetowych przy użyciu przeglądarek Internet Explorer i Edge.

Ogłoszony plan wycofywania składa się z trzech etapów. Pierwsza faza rozpocznie się w drugiej połowie 2024 r., kiedy to VBScript będzie dostępny jako funkcja na żądanie w systemie Windows 11 24H2. W drugiej fazie, która ma się rozpocząć około 2027 r., funkcja ta będzie nadal dostępna na żądanie, ale nie będzie już domyślnie włączona. Oczekuje się, że VBScript zostanie całkowicie wycofany i wyeliminowany z systemu operacyjnego Windows w bliżej nieokreślonym terminie w przyszłości. Możemy szacować, że będzie to 2029/2030 rok.

Oznacza to, że wszystkie biblioteki dll języka VBScript zostaną usunięte. W rezultacie projekty oparte na języku VBScript przestaną działać. Microsoft oczekuje, że do tego czasu deweloperzy i administratorzy Windows przełączą swoje funkcjonalności na zaproponowane alternatywy.

Dynamiczny rozwój sytuacji nastąpił kilka dni po tym, jak Microsoft potwierdził swoje plany wycofania NT LAN Manager (NTLM) z Windows 11 w drugiej połowie roku na rzecz nowszego i bezpieczniejszego protokołu Kerberos – chodzi oczywiście o uwierzytelnianie na stacji roboczej.

Wiadomo, że zarówno NTLM, jak i VBScript są wykorzystywane przez cyberprzestępców do prowadzenia złośliwych działań, co skłoniło firmę z Redmond do usunięcia funkcji w celu zminimalizowania powierzchni ataku.

W ostatnim czasie Microsoft wyłączył także makra programu Excel 4.0 (XLM) i makra języka Visual Basic for Applications (VBA), zablokował dodatki XLL i wdrożył opcję uniemożliwiania użytkownikom otwierania ryzykownych rozszerzeń plików w programie OneNote.

Źródło: https://techcommunity.microsoft.com

Skąd takie działania Microsoftu?

Wiadomość o wycofaniu VBScript jest również następstwem krytyki, zgodnie z którą nowo ogłoszona przez firmę Microsoft funkcja przywracania oparta na sztucznej inteligencji wywołuje obawy dotyczące prywatności i podważa bezpieczeństwo systemu Windows.

Funkcja ta nazwa się Recall i jest reklamowana jako „możliwa do zbadania oś czasu przeszłości komputera” i sposób, w jaki użytkownicy mogą uzyskać „wirtualny dostęp do tego, co widzieli lub robili na swoim komputerze, w sposób przypominający fotograficzną pamięć”. Obecnie jest dostępna tylko na komputerach PC Copilot+.

Według własnej dokumentacji Microsoftu komponent systemu Recall okresowo zapisuje migawki aktywnego okna użytkownika i przechowuje je lokalnie. Następnie wykorzystuje segmentację ekranu i rozpoznawanie obrazów w celu wydobycia z nich wniosków i zapisywania danych w indeksie semantycznym. Zewnętrzni twórcy aplikacji mogą również wykorzystać tę funkcję, oferując użytkownikom możliwość semantycznego przeszukiwania zapisanych migawek i ujawniania treści związanych z ich aplikacjami.

Microsoft szybko doprecyzował, że Recall przetwarza zawartość lokalnie na urządzeniu, a migawki są szyfrowane za pomocą funkcji Device Encryption lub BitLocker. Zaznaczył również, że migawki nie są udostępniane innym użytkownikom zalogowanym do systemu Windows na tym samym urządzeniu.

„Recall nie zapisuje żadnych treści z Twojej prywatnej aktywności związanej z przeglądaniem, gdy korzystasz z Microsoft Edge, Google Chrome lub innych przeglądarek opartych na Chromium” – stwierdziła firma. „Recall podobnie traktuje materiały chronione systemem zarządzania prawami cyfrowymi (DRM)”.

Jednak jednym z kluczowych zastrzeżeń związanych z Recall jest to, że nie moderuje treści, co oznacza, że nie zakryje treści znajdujących się w poufnych dokumentach ani poufnych informacji, takich jak hasła lub numery kont finansowych wprowadzanych na stronach internetowych, które nie przestrzegają standardowych protokołów internetowych, jak maskowanie wprowadzania haseł.

Badacz bezpieczeństwa Kevin Beaumont opisał Recall jako „keylogger […] wbudowany w system Windows” i stwierdził, że brak barier ochronnych może pozwolić podmiotom zagrażającym, które już naruszyły system w inny sposób, na kradzież migawek i zebranie cennych informacji.

Z ciekawością czekamy na rozwój technologii Copilot oraz Recall na systemach Microsoft Windows.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...