Software | Prohlížeče | Edge

IE a Edge trpí závažnou chybou a oprava je v nedohlednu. Jak jsou na tom ostatní?

  • Inženýr Googlu objevil závažnou chybu v IE a Edgi
  • Microsoft ani po 90 dnech nedodal opravu
  • Kdo je letos zatím nejděravější?

Surfujete v Edgi, nebo v prehistorickém Internet Exploreru? Tak to zbystřete, výzkumník z projektu Google Zero na odhalování chyb v softwaru Ivan Fratric totiž 25. listopadu objevil závažnou chybu ve vykreslovací knihovně, která by se měla týkat obou webových prohlížečů.

A proč píšeme o chybě, která je čtvrt roku stará? Protože je to právě 90 dnů, které dostane každý autor podobného děravého programu na opravu, než bezpečnostní analytici zveřejní detaily. Čtvrt roku uplynulo, a tak se Fratricovo hlášení automaticky zveřejnilo, ačkoliv oprava je zatím v nedohlednu.

Klepněte pro větší obrázek Klepněte pro větší obrázek
Zhroucení Internet Exploreru a chyba v Edge při spuštění HTML kódu od Ivana Fratrice

Zdá se, že zranitelnost je opravdu závažná, softwarový analytik totiž nakonec raději zveřejnil pouze první část, aby případní záškodníci nedostali úplný návod. V podstatě jde o to, že specifický HTML kód (CSS a značka hlavičky tabulky <TH>) může za určitých okolností způsobit problémy v knihovně mshtml.dll a prohlížeč poté havaruje.

Internet Explorer i prohlížeč Edge se sice udrží při životě, ale ohlásí chybu.

Pointa spočívá v tom, co by nastalo v dalším kroku, který zatím zná jen Fratric a inženýři z Microsoftu, kterým zaslal kompletní dokumentaci. V okamžiku pádu by totiž mohl útočník nahrát do paměti vlastní kód a zneužít počítač.

Závažnost chyby je podle National Vulnerability Database, která ji přidělila označení CVE-2017-0037, poměrně vysoká, přičemž na bodové škále získala skóre 8,1/10, respektive 7,6/10 (dle metodiky). Za vysokým skóre stojí právě potenciální dopad.

Edge už je docela dobře použitelný prohlížeč, zkuste mu dát šanci

A tak nelze než zopakovat jednu dnes již letitou pravdu. Nepoužívejte Internet Explorer. I když lze totiž předpokládat, že záplata pro Edge se později objeví, IE je dnes už na druhé koleji. Microsoft tento prohlížeč aktivně nevyvíjí a lze předpokládat, že postupně utlumí i jeho podporu, jak ze scény zmizí Windows 7.

Které programy letos trpí nejvíce chybami

Ačkoliv se dnešní zranitelnost týká Internet Exploreru a prohlížeče Edge, nejvíce evidovaných chyb v databází CVE (Common Vulnerabilities and Exposures) má od začátku roku někdo jiný. Postupně se vyvíjející žebříčky můžete sledovat třeba na webu CVE Details.

  1. Linux Kernel (142)
  2. Android (111)
  3. Apple iOS (107)
  4. Apple MacOS (79)
  5. Google Chrome (53)
  6. Apple Safari (43)
  7. Apple WatchOS (43)
  8. Tcpdump (41)
  9. Oracle Advanced Outbound Telephony (41)
  10. Debian Linux (37)

A takto vypadá desítka letos nejděravějších softwarových producentů:

  1. Oracle (235)
  2. IBM (190)
  3. Google (164)
  4. Apple (152)
  5. Linux (142)
  6. Adobe (70)
  7. Cisco (51)
  8. Tcpdump (41)
  9. Debian (37)
  10. NTP (30)
Diskuze (39) Další článek: Do mobilu lze nacpat pětinásobný zoom, aniž by měl bouli na zádech. Prototyp už existuje

Témata článku: Software, Microsoft, Google, Prohlížeče, Internet, Edge, Bezpečnost, Malware, Project Zero, Tom, Oprava, Apple iOS, Image, MITRE, Kernel, Linux kernel, CVE Details, NVD, Desítky let, Android Auto, Potenciální dopad, Kompletní dokument, HTML kód, Apple Safari, NIST


Určitě si přečtěte

Teachable Machine: Umělá inteligence za pět minut i bez doktorátu z ČVUT

Teachable Machine: Umělá inteligence za pět minut i bez doktorátu z ČVUT

** Pochopit techniky a principy A.I. je složité ** Ale nebojte, jde to i bez doktorátu z IT a matematiky ** Vyzkoušíme generátor neuronových sítí od Googlu

Jakub Čížek | 9

Deset kotev, které i v roce 2020 táhnou Android ke dnu

Deset kotev, které i v roce 2020 táhnou Android ke dnu

** Android existuje skoro 12 let a za tu dobu v mnoha směrech dospěl ** Dnes běží na sedmi z deseti telefonů, ale čemu za to vděčí? ** Našli jsme 10 kotev, které táhnou tento operační systém ke dnu

Karel Kilián | 154

Ubuntu 20.04: Zase vás chce přesvědčit, že je lepší než Windows

Ubuntu 20.04: Zase vás chce přesvědčit, že je lepší než Windows

** Britský Canonical před pár dny vydal novou verzi svého Ubuntu ** 20.04 LTS zapracovalo na grafickém desktopu, rychlosti i bezpečnosti ** V nitru tepe Linux 5.4 a volitelně i nový souborový systém

Jakub Čížek | 118


Aktuální číslo časopisu Computer

Megatest 24 PC zdrojů

Jak využít umělou inteligenci

10 špičkových sluchátek s ANC

Playstation 5 vs Xbox Series X