PAKKEBEHANDLING

Microsofts nye pakkebehandler preges av lett kaos

Ivrige brukere sendte inn duplikater og mangelfulle manifester.

Noen har vært litt for ivrige med å bruke Wingetcreate-verktøyet, som kan brukes til å opprette og laste opp programvaremanifester til Windows Package Manager. Det har svakheter som trolig kan misbrukes av ondsinnede.
Noen har vært litt for ivrige med å bruke Wingetcreate-verktøyet, som kan brukes til å opprette og laste opp programvaremanifester til Windows Package Manager. Det har svakheter som trolig kan misbrukes av ondsinnede. Skjermbilde: Microsoft. Montasje: Digi.no
Harald BrombachHarald BrombachNyhetsleder
3. juni 2021 - 05:00

I forrige uke lanserte Microsoft pakkebehandleren Windows Package Manager, som skal gjøre det enkelt for litt avanserte Windows-brukere å installere, oppdatere og slette mye programvare fra både Microsoft og tredjeparter ved hjelp av enkle tekstkommandoer. Da Digi.no omtalte løsningen tidligere denne uken, støttet den nærmere 1500 ulike programvareprodukter. 

Det er fullt mulig for alle å sende inn «pull request» med manifester for nye eller oppdaterte programmer. Men nå viser det seg at dette ikke fungerer så godt. 

Kun en automatisk prosess

Ifølge Bleeping Computer, som viser til denne diskusjonstråden, har Github-kontoen for Windows Package Manager blitt oversvømmet av duplikater og manifester med feil. Blant annet har noen har tydelig lagt til programvare uten å sjekke hva som er tilgjengelig fra før.

I utgangspunktet blir innsendte manifest validert av en automatisk prosess som sjekker om programvarepakken overholder Microsofts policyer for dette, samt at den ikke er kjent for å være ondsinnet. Men dette er tydeligvis ikke nok. 

Derfor er det flere som nå stiller spørsmål ved integriteten til systemet.

Bør studere konkurrenten

Blant annet spør én deltaker i diskusjonen om hva som skjer dersom han for eksempel sender en forespørsel som fører til at Chrome-pakken installerer Firefox i stedet. Han foreslår at Microsoft kikker på hvordan dette gjøres med Chocolatey, en tredjeparts pakkebehandler basert på Microsofts Nuget-teknologi. Chocolatey har eksistert siden 2017.

Alle nye versjoner av pakker som sendes til Chocolatey blir vurdert av mennesker før de godkjennes. 

Microsoft-ansatte Demitrius Nelon (denelon), som er en nøkkelperson i Windows Package Manager-prosjektet, har også deltatt i diskusjonen og ser ut til å være åpen for at det dannes en form for frivillig moderatorkorps som kan være med på å godkjenne nye eller oppdaterte pakker. 

En ny skadevare bruker piksler i bildefiler til å skjule ondsinnet kode, noe som gjør det svært vanskelig å oppdage.
Les også

Denne skadevaren skjuler seg i pikslene til bildefiler

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.