IE a Edge trpí závažnou chybou a oprava je v nedohlednu. Jak jsou na tom ostatní?

Surfujete v Edgi, nebo v prehistorickém Internet Exploreru? Tak to zbystřete, výzkumník z projektu Google Zero na odhalování chyb v softwaru Ivan Fratric totiž 25. listopadu objevil závažnou chybu ve vykreslovací knihovně, která by se měla týkat obou webových prohlížečů.

A proč píšeme o chybě, která je čtvrt roku stará? Protože je to právě 90 dnů, které dostane každý autor podobného děravého programu na opravu, než bezpečnostní analytici zveřejní detaily. Čtvrt roku uplynulo, a tak se Fratricovo hlášení automaticky zveřejnilo, ačkoliv oprava je zatím v nedohlednu.

Zhroucení Internet Exploreru a chyba v Edge při spuštění HTML kódu od Ivana Fratrice

Zdá se, že zranitelnost je opravdu závažná, softwarový analytik totiž nakonec raději zveřejnil pouze první část, aby případní záškodníci nedostali úplný návod. V podstatě jde o to, že specifický HTML kód (CSS a značka hlavičky tabulky <TH>) může za určitých okolností způsobit problémy v knihovně mshtml.dll a prohlížeč poté havaruje.

Internet Explorer i prohlížeč Edge se sice udrží při životě, ale ohlásí chybu.

Pointa spočívá v tom, co by nastalo v dalším kroku, který zatím zná jen Fratric a inženýři z Microsoftu, kterým zaslal kompletní dokumentaci. V okamžiku pádu by totiž mohl útočník nahrát do paměti vlastní kód a zneužít počítač.

Závažnost chyby je podle National Vulnerability Database, která ji přidělila označení CVE-2017-0037, poměrně vysoká, přičemž na bodové škále získala skóre 8,1/10, respektive 7,6/10 (dle metodiky). Za vysokým skóre stojí právě potenciální dopad.

Edge už je docela dobře použitelný prohlížeč, zkuste mu dát šanci

A tak nelze než zopakovat jednu dnes již letitou pravdu. Nepoužívejte Internet Explorer. I když lze totiž předpokládat, že záplata pro Edge se později objeví, IE je dnes už na druhé koleji. Microsoft tento prohlížeč aktivně nevyvíjí a lze předpokládat, že postupně utlumí i jeho podporu, jak ze scény zmizí Windows 7.