Software | Prohlížeče | Edge

IE a Edge trpí závažnou chybou a oprava je v nedohlednu. Jak jsou na tom ostatní?

  • Inženýr Googlu objevil závažnou chybu v IE a Edgi
  • Microsoft ani po 90 dnech nedodal opravu
  • Kdo je letos zatím nejděravější?

Surfujete v Edgi, nebo v prehistorickém Internet Exploreru? Tak to zbystřete, výzkumník z projektu Google Zero na odhalování chyb v softwaru Ivan Fratric totiž 25. listopadu objevil závažnou chybu ve vykreslovací knihovně, která by se měla týkat obou webových prohlížečů.

A proč píšeme o chybě, která je čtvrt roku stará? Protože je to právě 90 dnů, které dostane každý autor podobného děravého programu na opravu, než bezpečnostní analytici zveřejní detaily. Čtvrt roku uplynulo, a tak se Fratricovo hlášení automaticky zveřejnilo, ačkoliv oprava je zatím v nedohlednu.

Klepněte pro větší obrázek Klepněte pro větší obrázek
Zhroucení Internet Exploreru a chyba v Edge při spuštění HTML kódu od Ivana Fratrice

Zdá se, že zranitelnost je opravdu závažná, softwarový analytik totiž nakonec raději zveřejnil pouze první část, aby případní záškodníci nedostali úplný návod. V podstatě jde o to, že specifický HTML kód (CSS a značka hlavičky tabulky <TH>) může za určitých okolností způsobit problémy v knihovně mshtml.dll a prohlížeč poté havaruje.

Internet Explorer i prohlížeč Edge se sice udrží při životě, ale ohlásí chybu.

Pointa spočívá v tom, co by nastalo v dalším kroku, který zatím zná jen Fratric a inženýři z Microsoftu, kterým zaslal kompletní dokumentaci. V okamžiku pádu by totiž mohl útočník nahrát do paměti vlastní kód a zneužít počítač.

Závažnost chyby je podle National Vulnerability Database, která ji přidělila označení CVE-2017-0037, poměrně vysoká, přičemž na bodové škále získala skóre 8,1/10, respektive 7,6/10 (dle metodiky). Za vysokým skóre stojí právě potenciální dopad.

Edge už je docela dobře použitelný prohlížeč, zkuste mu dát šanci

A tak nelze než zopakovat jednu dnes již letitou pravdu. Nepoužívejte Internet Explorer. I když lze totiž předpokládat, že záplata pro Edge se později objeví, IE je dnes už na druhé koleji. Microsoft tento prohlížeč aktivně nevyvíjí a lze předpokládat, že postupně utlumí i jeho podporu, jak ze scény zmizí Windows 7.

Které programy letos trpí nejvíce chybami

Ačkoliv se dnešní zranitelnost týká Internet Exploreru a prohlížeče Edge, nejvíce evidovaných chyb v databází CVE (Common Vulnerabilities and Exposures) má od začátku roku někdo jiný. Postupně se vyvíjející žebříčky můžete sledovat třeba na webu CVE Details.

  1. Linux Kernel (142)
  2. Android (111)
  3. Apple iOS (107)
  4. Apple MacOS (79)
  5. Google Chrome (53)
  6. Apple Safari (43)
  7. Apple WatchOS (43)
  8. Tcpdump (41)
  9. Oracle Advanced Outbound Telephony (41)
  10. Debian Linux (37)

A takto vypadá desítka letos nejděravějších softwarových producentů:

  1. Oracle (235)
  2. IBM (190)
  3. Google (164)
  4. Apple (152)
  5. Linux (142)
  6. Adobe (70)
  7. Cisco (51)
  8. Tcpdump (41)
  9. Debian (37)
  10. NTP (30)
Diskuze (39) Další článek: Do mobilu lze nacpat pětinásobný zoom, aniž by měl bouli na zádech. Prototyp už existuje

Témata článku: Software, Microsoft, Google, Prohlížeče, Internet, Bezpečnost, Edge, Malware, Debian Linux, CVE Details, Kernel, Apple Safari, Potenciální dopad, Chyba, CVE, Apple macOS, Kompletní dokument, Linux kernel, Image, Android Auto, Oprava, Desítky let, Project Zero, MITRE, Tom


Určitě si přečtěte

Wi-Fi 6 konečně začíná dostávat smysl. Poradíme, jak ji využít

Wi-Fi 6 konečně začíná dostávat smysl. Poradíme, jak ji využít

** Na trh míří první levné Wi-Fi 6 routery ** Nabídka zařízení, zejména notebooků, každý den roste ** Poradíme, jak nejlépe přejít s domácností na Wi-Fi 6

Tomáš Holčík | 28

10 mýtů a polopravd o bateriích, kterým možná ještě věříte

10 mýtů a polopravd o bateriích, kterým možná ještě věříte

** Kolem baterií a akumulátorů koluje řada mýtů, nepravd a polopravd ** Dnes vám devět z nich zkusíme vyvrátit na základě faktů ** Většina z nich totiž neplatí pro moderní lithiové baterie

Karel Kilián, David Polesný | 99


Aktuální číslo časopisu Computer

Megatest: 20 powerbank s USB-C

Test: mobily do 3 500 Kč

Radíme s výběrem routeru

Tipy na nejlepší vánoční dárky