Surfujete v Edgi, nebo v prehistorickém Internet Exploreru? Tak to zbystřete, výzkumník z projektu Google Zero na odhalování chyb v softwaru Ivan Fratric totiž 25. listopadu objevil závažnou chybu ve vykreslovací knihovně, která by se měla týkat obou webových prohlížečů.
A proč píšeme o chybě, která je čtvrt roku stará? Protože je to právě 90 dnů, které dostane každý autor podobného děravého programu na opravu, než bezpečnostní analytici zveřejní detaily. Čtvrt roku uplynulo, a tak se Fratricovo hlášení automaticky zveřejnilo, ačkoliv oprava je zatím v nedohlednu.
Zhroucení Internet Exploreru a chyba v Edge při spuštění HTML kódu od Ivana Fratrice
Zdá se, že zranitelnost je opravdu závažná, softwarový analytik totiž nakonec raději zveřejnil pouze první část, aby případní záškodníci nedostali úplný návod. V podstatě jde o to, že specifický HTML kód (CSS a značka hlavičky tabulky <TH>) může za určitých okolností způsobit problémy v knihovně mshtml.dll a prohlížeč poté havaruje.
Internet Explorer i prohlížeč Edge se sice udrží při životě, ale ohlásí chybu.
Pointa spočívá v tom, co by nastalo v dalším kroku, který zatím zná jen Fratric a inženýři z Microsoftu, kterým zaslal kompletní dokumentaci. V okamžiku pádu by totiž mohl útočník nahrát do paměti vlastní kód a zneužít počítač.
Závažnost chyby je podle National Vulnerability Database, která ji přidělila označení CVE-2017-0037, poměrně vysoká, přičemž na bodové škále získala skóre 8,1/10, respektive 7,6/10 (dle metodiky). Za vysokým skóre stojí právě potenciální dopad.
Edge už je docela dobře použitelný prohlížeč, zkuste mu dát šanci
A tak nelze než zopakovat jednu dnes již letitou pravdu. Nepoužívejte Internet Explorer. I když lze totiž předpokládat, že záplata pro Edge se později objeví, IE je dnes už na druhé koleji. Microsoft tento prohlížeč aktivně nevyvíjí a lze předpokládat, že postupně utlumí i jeho podporu, jak ze scény zmizí Windows 7.
Které programy letos trpí nejvíce chybami
Ačkoliv se dnešní zranitelnost týká Internet Exploreru a prohlížeče Edge, nejvíce evidovaných chyb v databází CVE (Common Vulnerabilities and Exposures) má od začátku roku někdo jiný. Postupně se vyvíjející žebříčky můžete sledovat třeba na webu CVE Details.
- Linux Kernel (142)
- Android (111)
- Apple iOS (107)
- Apple MacOS (79)
- Google Chrome (53)
- Apple Safari (43)
- Apple WatchOS (43)
- Tcpdump (41)
- Oracle Advanced Outbound Telephony (41)
- Debian Linux (37)
A takto vypadá desítka letos nejděravějších softwarových producentů:
- Oracle (235)
- IBM (190)
- Google (164)
- Apple (152)
- Linux (142)
- Adobe (70)
- Cisco (51)
- Tcpdump (41)
- Debian (37)
- NTP (30)