Microsoft 逐步淘汰用于 JavaScript 和 PowerShell 的 VBScript

报告2024年5月23日新闻中心端点安全/数据隐私

微软周三概述了其计划在 2024 年下半年弃用 Visual Basic Sc​​ript (VBScript)，转而使用 JavaScript 和 PowerShell 等更高级的替代方案。

微软项目经理 Naveen Shankar 表示：“多年来，技术不断进步，催生出更强大、更通用的脚本语言，如 JavaScript 和 PowerShell。” 说。 “这些语言提供了更广泛的功能，更适合现代网络开发和自动化任务。”

科技巨头最初 宣布 该公司计划于 2023 年 10 月逐步淘汰 VBScript。

该脚本语言也称为 Visual Basic 脚本版本，最初由 Microsoft 于 1996 年作为 Windows 系统组件推出，使用户能够使用 Internet Explorer 和 Edge（在 Internet Explorer 模式）。

宣布的弃用计划包括三个阶段，第一阶段于 2024 年下半年启动，届时 VBScript 将作为 Windows 11 24H2 中的按需功能提供。

第二阶段预计于 2027 年左右开始，仍将按需提供该功能，但不再默认启用。 VBScript 预计将在未来某个不确定的日期完全退役并从 Windows 操作系统中消除。

Shankar 表示：“这意味着 VBScript 的所有动态链接库（.dll 文件）都将被删除。因此，依赖 VBScript 的项目将停止运行。到那时，我们希望您已经改用建议的替代方案。”

几天前，微软确认计划在今年下半年在 Windows 11 中弃用 NT LAN Manager (NTLM)，转而使用 Kerberos 进行身份验证。

众所周知，NTLM 和 VBScript 都被威胁行为者滥用来进行恶意活动，这促使雷蒙德删除了一些功能，以尽量减少攻击面。

此后，微软还禁用了 Excel 4.0 (XLM) 宏和 Visual Basic for Applications (VBA) 宏、阻止了 XLL 插件，并推出了防止用户在 OneNote 中打开有风险的文件扩展名的功能。

微软因召回陷入困境

VBScript 被弃用的消息传出后，微软新发布的人工智能 (AI) 支持的 Recall 功能也受到批评。 引发隐私担忧 并破坏 Windows 安全。

召回已 广告 作为一个“可探索电脑过去的时间线“并为用户提供一种‘像拥有照相记忆一样’的方式，虚拟地访问您在 PC 上看到或做过的事情’。目前，该功能仅在 Copilot+ PC 上可用。

根据微软自己的文档，Recall系统组件会定期保存用户活动窗口的快照并将其存储在本地。 然后，它利用屏幕分割和图像识别从中提取见解并将数据保存在 语义索引。

微软很快就强调，Recall 在设备本地处理内容，并且快照通过设备加密或 BitLocker 进行加密。 它还指出，快照不会与在同一设备上登录 Windows 的其他用户共享。

该公司表示：“当您使用 Microsoft Edge、Google Chrome 或其他基于 Chromium 的浏览器时，Recall 不会保存您私人浏览活动中的任何内容。” 说。 “Recall 类似地对待受数字版权管理 (DRM) 保护的材料。”

但 Recall 的一个重要警告是它不执行内容审核，这意味着它不会隐藏机密文件中的内容或敏感信息，例如在不遵循标准互联网协议的网站上输入的密码或金融账号（例如隐藏密码输入）。

英国信息专员办公室 (ICO) 表示，正在与微软联系，以了解其采取了哪些措施来保护用户隐私。

ICO 表示：“我们希望组织能够向用户透明地说明其数据的使用方式，并且仅在实现特定目的所需的范围内处理个人数据。” 说。

“行业必须从一开始就考虑数据保护，并在将产品推向市场之前严格评估和减轻对人民权利和自由的风险。”

安全研究员 Kevin Beaumont 将 Recall 描述为“键盘记录器” […] 嵌入在 Windows 中的”并且缺乏安全护栏可能会让已经通过其他方式破坏系统的威胁行为者窃取快照并收集有价值的信息。

“通过 Recall，作为恶意黑客，您将能够在访问系统时立即轻松获取索引数据库和屏幕截图，默认情况下包括 3 个月的历史记录，”Beaumont 说。