IE a Edge trpí závažnou chybou a oprava je v nedohlednu. Jak jsou na tom ostatní?

  • Inženýr Googlu objevil závažnou chybu v IE a Edgi
  • Microsoft ani po 90 dnech nedodal opravu
  • Kdo je letos zatím nejděravější?

Surfujete v Edgi, nebo v prehistorickém Internet Exploreru? Tak to zbystřete, výzkumník z projektu Google Zero na odhalování chyb v softwaru Ivan Fratric totiž 25. listopadu objevil závažnou chybu ve vykreslovací knihovně, která by se měla týkat obou webových prohlížečů.

A proč píšeme o chybě, která je čtvrt roku stará? Protože je to právě 90 dnů, které dostane každý autor podobného děravého programu na opravu, než bezpečnostní analytici zveřejní detaily. Čtvrt roku uplynulo, a tak se Fratricovo hlášení automaticky zveřejnilo, ačkoliv oprava je zatím v nedohlednu.

Klepněte pro větší obrázek Klepněte pro větší obrázek
Zhroucení Internet Exploreru a chyba v Edge při spuštění HTML kódu od Ivana Fratrice

Zdá se, že zranitelnost je opravdu závažná, softwarový analytik totiž nakonec raději zveřejnil pouze první část, aby případní záškodníci nedostali úplný návod. V podstatě jde o to, že specifický HTML kód (CSS a značka hlavičky tabulky <TH>) může za určitých okolností způsobit problémy v knihovně mshtml.dll a prohlížeč poté havaruje.

Internet Explorer i prohlížeč Edge se sice udrží při životě, ale ohlásí chybu.

Pointa spočívá v tom, co by nastalo v dalším kroku, který zatím zná jen Fratric a inženýři z Microsoftu, kterým zaslal kompletní dokumentaci. V okamžiku pádu by totiž mohl útočník nahrát do paměti vlastní kód a zneužít počítač.

Závažnost chyby je podle National Vulnerability Database, která ji přidělila označení CVE-2017-0037, poměrně vysoká, přičemž na bodové škále získala skóre 8,1/10, respektive 7,6/10 (dle metodiky). Za vysokým skóre stojí právě potenciální dopad.

A tak nelze než zopakovat jednu dnes již letitou pravdu. Nepoužívejte Internet Explorer. I když lze totiž předpokládat, že záplata pro Edge se později objeví, IE je dnes už na druhé koleji. Microsoft tento prohlížeč aktivně nevyvíjí a lze předpokládat, že postupně utlumí i jeho podporu, jak ze scény zmizí Windows 7.

Které programy letos trpí nejvíce chybami

Ačkoliv se dnešní zranitelnost týká Internet Exploreru a prohlížeče Edge, nejvíce evidovaných chyb v databází CVE (Common Vulnerabilities and Exposures) má od začátku roku někdo jiný. Postupně se vyvíjející žebříčky můžete sledovat třeba na webu CVE Details.

  1. Linux Kernel (142)
  2. Android (111)
  3. Apple iOS (107)
  4. Apple MacOS (79)
  5. Google Chrome (53)
  6. Apple Safari (43)
  7. Apple WatchOS (43)
  8. Tcpdump (41)
  9. Oracle Advanced Outbound Telephony (41)
  10. Debian Linux (37)

A takto vypadá desítka letos nejděravějších softwarových producentů:

  1. Oracle (235)
  2. IBM (190)
  3. Google (164)
  4. Apple (152)
  5. Linux (142)
  6. Adobe (70)
  7. Cisco (51)
  8. Tcpdump (41)
  9. Debian (37)
  10. NTP (30)
Diskuze (39) | Do mobilu lze nacpat pětinásobný zoom, aniž by měl bouli na zádech. Prototyp už existuje

Témata článku: Microsoft, Software, Google, Prohlížeče, Internet, Bezpečnost, Edge, Malware, Potenciální dopad, Apple Safari, Apple iOS, Chyba, CVE Details, Kernel, Apple macOS, Oprava, Desítky let, HTML kód, Tom, NIST, CVE, Android Auto, Image

Určitě si přečtěte


Aktuální číslo časopisu Computer

Zachraňte nefunkční Windows

Jak nakupovat a prodávat kryptoměny

Otestovali jsme konvertibilní notebooky

Velký test 14 herních myší