Nebezpečný dokument

Ilustrace: Nenad Vitas

I když jsou bezpečnostní chyby softwarových komponent stále velikým strašákem, zdaleka už ne takovým, jakým byly před poměrně nedávnou dobou. Nejvýznamnější dodavatelé dávno zvládli systém a mechanismus jejich opravy a distribuce záplat a některé notorické hledače závad to prostě přestalo bavit. Bezpečnostní software umí mnoha rizikům předcházet a uživatelé se stali (alespoň trochu) poučenými. K bezpečnosti také přispívá určité, byť ne dostatečně veliké „rozředění“ webových prohlížečů, spojené s nárůstem podílu Firefoxu, a poštovních klientů.

Sem tam se ovšem stále najde „špek“ a některé ze špeků opravdu stojí za to. Tak například nedávno objevená díra v prohlížeči Adobe Acrobat Reader. Jejím využitím může útočník velmi nenápadně a přitom efektivně převzít kontrolu nad počítačem oběti, dokonce i v případě, kdy je tento vybaven bezpečnostním softwarem. Jediné, co k tomu potřebuje, je oběť donutit k otevření souboru PDF. Ten se dá přiložit k emailu (nebo třeba uložit na web) a odkázat se na něj. Uživatel nemusí na nic přijít a napadený počítač se dá použít jakkoliv. Napadá mne obligátní využití coby součást botnetu.

Na objevenou vadu, která byla v Adobe Acrobat Readeru kdo ví jak dlouho, upozornilo několik společností produkujících bezpečnostní řešení. Prvenství ovšem patří člověku, kterého řadím do kategorie „bezpečnostní risérčr“ čili osoba nimrající se v práci druhých s cílem ji pošlapat. To ovšem nemění nic na faktu, že aktuální díra je větší než nedávná chyba Quicktime (říká risérčr) a že nepříjemným způsobem postihuje obrovské množství počítačů a uživatelů s různými operačními systémy, přesněji řečeno různými verzemi Windows.

Tím, že chyba není v systémovém softwaru, ale v aplikaci, která je takřka nutně přítomna v každém PC, se s úspěchem obchází ověřený a všem uživatelům důvěrně známý aktualizační mechanismus Microsoftu. Současně si ale potenciální útočník může být jistý tím, že jím připravené PDF schopné v nejhorším případě převzít kontrolu nad PC otevře skoro kdokoliv. To je velmi lákavá kombinace zvíci dortu se svíčkami nahoře. Prostě dokonalé. Vlastní aktualizační mechanismus Adobe, kterým je možné rozšířit opravu, je přitom na mnoha počítačích z různých důvodů potlačen, což zodpovědnost za řešení do jisté míry přesouvá na autory aplikací, jejichž prostřednictvím je možné vadu využít. Například Firefoxu či Internet Exploreru. Není to poprvé, co jsou nuceni čelit rozlitému mléku někoho jiného.

Když před asi dvěma roky řádila horečka různě intenzivních bezpečnostních vad v Internet Exploreru a v programech vystavěných na jeho komponentách, ozval se sem a tam tichý hlásek, který říkal, že obdobně děravé jsou běžně používané aplikace. Nepamatuji si, že by někdo přímo jmenoval čtečku PDF, ale jisté je, že byla doslova na ráně. Zatímco Microsoft, Mozilla a další výrobci exponovaného softwaru vybrousili své mechanismy obrany do ostrého hrotu a v současnosti se dokáží s nově objevenou vadou vyrovnat v rekordním čase (nebo ji zatajit na rekordní dobu do dalšího záplatovacího dne), Adobe podle všeho podobné zkušenosti, přinejmenším v podobném rozsahu, nemá. Než je získá, uživatele to může stát spoustu peněz. Potíž je, že nejen Adobe Acrobat Reader je všeobecně používanou aplikací s bezpečnostními dopady. Podobných programů bychom v takřka každém počítači našli povícero. A je jisté, že i na ně si bezpečnostní risérčři brzy posvítí…