Hlavní navigace

Nebezpečný dokument

Vojtěch Bednář

Pokud jste si mysleli, že bezpečnostní chyby jsou výsadou webových prohlížečů a poštovních programů, byli jste na omylu. Jednu roztomilou máme v PDF.

Vojtěch Bednář

Ilustrace: Nenad Vitas

I když jsou bezpečnostní chyby softwarových komponent stále velikým strašákem, zdaleka už ne takovým, jakým byly před poměrně nedávnou dobou. Nejvýznamnější dodavatelé dávno zvládli systém a mechanismus jejich opravy a distribuce záplat a některé notorické hledače závad to prostě přestalo bavit. Bezpečnostní software umí mnoha rizikům předcházet a uživatelé se stali (alespoň trochu) poučenými. K bezpečnosti také přispívá určité, byť ne dostatečně veliké „rozředění“ webových prohlížečů, spojené s nárůstem podílu Firefoxu, a poštovních klientů.

Sem tam se ovšem stále najde „špek“ a některé ze špeků opravdu stojí za to. Tak například nedávno objevená díra v prohlížeči Adobe Acrobat Reader. Jejím využitím může útočník velmi nenápadně a přitom efektivně převzít kontrolu nad počítačem oběti, dokonce i v případě, kdy je tento vybaven bezpečnostním softwarem. Jediné, co k tomu potřebuje, je oběť donutit k otevření souboru PDF. Ten se dá přiložit k emailu (nebo třeba uložit na web) a odkázat se na něj. Uživatel nemusí na nic přijít a napadený počítač se dá použít jakkoliv. Napadá mne obligátní využití coby součást botnetu.

Na objevenou vadu, která byla v Adobe Acrobat Readeru kdo ví jak dlouho, upozornilo několik společností produkujících bezpečnostní řešení. Prvenství ovšem patří člověku, kterého řadím do kategorie „bezpečnostní risérčr“ čili osoba nimrající se v práci druhých s cílem ji pošlapat. To ovšem nemění nic na faktu, že aktuální díra je větší než nedávná chyba Quicktime (říká risérčr) a že nepříjemným způsobem postihuje obrovské množství počítačů a uživatelů s různými operačními systémy, přesněji řečeno různými verzemi Windows.

Tím, že chyba není v systémovém softwaru, ale v aplikaci, která je takřka nutně přítomna v každém PC, se s úspěchem obchází ověřený a všem uživatelům důvěrně známý aktualizační mechanismus Microsoftu. Současně si ale potenciální útočník může být jistý tím, že jím připravené PDF schopné v nejhorším případě převzít kontrolu nad PC otevře skoro kdokoliv. To je velmi lákavá kombinace zvíci dortu se svíčkami nahoře. Prostě dokonalé. Vlastní aktualizační mechanismus Adobe, kterým je možné rozšířit opravu, je přitom na mnoha počítačích z různých důvodů potlačen, což zodpovědnost za řešení do jisté míry přesouvá na autory aplikací, jejichž prostřednictvím je možné vadu využít. Například Firefoxu či Internet Exploreru. Není to poprvé, co jsou nuceni čelit rozlitému mléku někoho jiného.

Když před asi dvěma roky řádila horečka různě intenzivních bezpečnostních vad v Internet Exploreru a v programech vystavěných na jeho komponentách, ozval se sem a tam tichý hlásek, který říkal, že obdobně děravé jsou běžně používané aplikace. Nepamatuji si, že by někdo přímo jmenoval čtečku PDF, ale jisté je, že byla doslova na ráně. Zatímco Microsoft, Mozilla a další výrobci exponovaného softwaru vybrousili své mechanismy obrany do ostrého hrotu a v současnosti se dokáží s nově objevenou vadou vyrovnat v rekordním čase (nebo ji zatajit na rekordní dobu do dalšího záplatovacího dne), Adobe podle všeho podobné zkušenosti, přinejmenším v podobném rozsahu, nemá. Než je získá, uživatele to může stát spoustu peněz. Potíž je, že nejen Adobe Acrobat Reader je všeobecně používanou aplikací s bezpečnostními dopady. Podobných programů bychom v takřka každém počítači našli povícero. A je jisté, že i na ně si bezpečnostní risérčři brzy posvítí…

Našli jste v článku chybu?

29. 9. 2007 14:56

Je to stejné jax autama. Dneska nekoupite auto bez ABS. Je to sice "vymozenost" na nic, auto se ji jen zdrazuje, ridicske navyky kazi, ale proste vam ho vnuti, at chcete nebo ne.

Jako tech 64 bitu :-)

29. 9. 2007 9:54

l4m4 (neregistrovaný)
Žere, nežere. Nekupujete-li low-end, tak dnes -- a už nějakou dobu -- kupujete 64bit. A zaplatit si 64bit a provozovat na něm 32bitový systém samozřejmě můžete, ale leda pokud rád vyhazujete peníze oknem -- nebo pokud výrobce vašeho systému nedokáže za pět let sesmolit fungující podporu.
Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

Podnikatel.cz: Alza.cz má StreetShop. Mall.cz více výdejních míst

Alza.cz má StreetShop. Mall.cz více výdejních míst

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

DigiZone.cz: Zdeněk Gerlický: nový ředitel nangu.tv

Zdeněk Gerlický: nový ředitel nangu.tv

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

DigiZone.cz: Vedení ČRo: personální změny od ledna

Vedení ČRo: personální změny od ledna

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Podnikatel.cz: Daňové úlevy s EET nestačí. Budou zdražovat

Daňové úlevy s EET nestačí. Budou zdražovat

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Root.cz: Kamery Sony se dají ovládnout na dálku

Kamery Sony se dají ovládnout na dálku

Vitalia.cz: Analýza letáků: Na co lákají do prodejen?

Analýza letáků: Na co lákají do prodejen?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy