IE a Edge trpí závažnou chybou a oprava je v nedohlednu. Jak jsou na tom ostatní?

  • Inženýr Googlu objevil závažnou chybu v IE a Edgi
  • Microsoft ani po 90 dnech nedodal opravu
  • Kdo je letos zatím nejděravější?

Surfujete v Edgi, nebo v prehistorickém Internet Exploreru? Tak to zbystřete, výzkumník z projektu Google Zero na odhalování chyb v softwaru Ivan Fratric totiž 25. listopadu objevil závažnou chybu ve vykreslovací knihovně, která by se měla týkat obou webových prohlížečů.

A proč píšeme o chybě, která je čtvrt roku stará? Protože je to právě 90 dnů, které dostane každý autor podobného děravého programu na opravu, než bezpečnostní analytici zveřejní detaily. Čtvrt roku uplynulo, a tak se Fratricovo hlášení automaticky zveřejnilo, ačkoliv oprava je zatím v nedohlednu.

Klepněte pro větší obrázek Klepněte pro větší obrázek
Zhroucení Internet Exploreru a chyba v Edge při spuštění HTML kódu od Ivana Fratrice

Zdá se, že zranitelnost je opravdu závažná, softwarový analytik totiž nakonec raději zveřejnil pouze první část, aby případní záškodníci nedostali úplný návod. V podstatě jde o to, že specifický HTML kód (CSS a značka hlavičky tabulky <TH>) může za určitých okolností způsobit problémy v knihovně mshtml.dll a prohlížeč poté havaruje.

Internet Explorer i prohlížeč Edge se sice udrží při životě, ale ohlásí chybu.

Pointa spočívá v tom, co by nastalo v dalším kroku, který zatím zná jen Fratric a inženýři z Microsoftu, kterým zaslal kompletní dokumentaci. V okamžiku pádu by totiž mohl útočník nahrát do paměti vlastní kód a zneužít počítač.

Závažnost chyby je podle National Vulnerability Database, která ji přidělila označení CVE-2017-0037, poměrně vysoká, přičemž na bodové škále získala skóre 8,1/10, respektive 7,6/10 (dle metodiky). Za vysokým skóre stojí právě potenciální dopad.

A tak nelze než zopakovat jednu dnes již letitou pravdu. Nepoužívejte Internet Explorer. I když lze totiž předpokládat, že záplata pro Edge se později objeví, IE je dnes už na druhé koleji. Microsoft tento prohlížeč aktivně nevyvíjí a lze předpokládat, že postupně utlumí i jeho podporu, jak ze scény zmizí Windows 7.

Které programy letos trpí nejvíce chybami

Ačkoliv se dnešní zranitelnost týká Internet Exploreru a prohlížeče Edge, nejvíce evidovaných chyb v databází CVE (Common Vulnerabilities and Exposures) má od začátku roku někdo jiný. Postupně se vyvíjející žebříčky můžete sledovat třeba na webu CVE Details.

  1. Linux Kernel (142)
  2. Android (111)
  3. Apple iOS (107)
  4. Apple MacOS (79)
  5. Google Chrome (53)
  6. Apple Safari (43)
  7. Apple WatchOS (43)
  8. Tcpdump (41)
  9. Oracle Advanced Outbound Telephony (41)
  10. Debian Linux (37)

A takto vypadá desítka letos nejděravějších softwarových producentů:

  1. Oracle (235)
  2. IBM (190)
  3. Google (164)
  4. Apple (152)
  5. Linux (142)
  6. Adobe (70)
  7. Cisco (51)
  8. Tcpdump (41)
  9. Debian (37)
  10. NTP (30)

Témata článku: Software, Microsoft, Google, Internet, Prohlížeče, Bezpečnost, Edge, Malware, Image, Android Auto

43 komentářů

Nejnovější komentáře

  • Quak 1. 3. 2017 21:54:43
    Článek jsem nemohl přečíst. Antivirus mi zablokoval...
  • Mispulda 28. 2. 2017 19:47:26
    Kdyz se podivam na tu tabulku a predchozi roky, tak mi to pripomina vladu...
  • Walkeer_CZ 28. 2. 2017 17:07:51
    IE, Edge..to je to, cim si stahnu Chrome na novem pocitaci? :)
Určitě si přečtěte

Pojďme programovat elektroniku: Postavíme si titěrnou Wi-Fi meteostanici s lepším teploměrem než Netatmo

Pojďme programovat elektroniku: Postavíme si titěrnou Wi-Fi meteostanici s lepším teploměrem než Netatmo

** Dnes se podíváme na maličkou Wi-Fi destičku Wemos D1 mini ** A připojíme k ní barometrický a teplotní shield ** Poběží na ní web a nabídne i JSON API

18.  6.  2017 | Jakub Čížek | 27

Jak vybrat monitor k počítači: nenechte se zlákat nepodstatnými parametry

Jak vybrat monitor k počítači: nenechte se zlákat nepodstatnými parametry

** Na jaké parametry se zaměřit a kde vás výrobci chtějí nachytat ** Monitory se stále více specifikují pro konkrétní určení ** Náročný hráč nebo profesionální grafik mají různé požadavky

20.  6.  2017 | Tomáš Holčík | 31

Dlouhodobý test HTC Vive: co vám recenze o virtuální realitě neřeknou

Dlouhodobý test HTC Vive: co vám recenze o virtuální realitě neřeknou

** Ani hry se sebelepší grafikou vás nevtáhnou tolik, jako ve virtuální realitě ** Pro sledování filmů není VR ani zdaleka ideální ** I první generace je skvělá, stále však působí jako prototyp

20.  6.  2017 | Stanislav Janů | 19

Jak unikají informace o nových iPhonech? Třeba podprsenkami čínských pracovnic

Jak unikají informace o nových iPhonech? Třeba podprsenkami čínských pracovnic

** Na černém trhu mohou zaměstnanci továren za kradené součástky inkasovat částku ve výši ročního platu ** Velké množství informací je vyneseno i z centrály Applu ** Díly jsou pašovány v botách, podprsenkách i odpadem

21.  6.  2017 | Stanislav Janů | 20


Aktuální číslo časopisu Computer

Bojujeme proti Fake News

Dva velké testy: fotoaparáty a NASy

Co musíte vědět o změně evropského roamingu

Radíme s výběrem základní desky