Obavy o bezpečnost Linuxu

Bezpečnostních chyb objevovaných v open-source softwaru pomalu přibývá. Jedna z posledních, nalezená v KDE, je dokonalou ukázkou toho, jak se obavy pesimistů, že se zde zopakuje situace z Windows, začínají naplňovat.

Vojtěch Bednář

Ilustrace: Nenad Vitas

Chyba objevená jistým Maksimem Orlovichem se nachází v kjs. To je komponenta systému KDE pro práci s Javascriptem (přesný popis chyby najdete v dokumentu, který pro tento případ vydalo samotné KDE). Její zneužití je nesmírně podobné starším, podobným chybám z Microsoft Windows a softwaru na něm. Pokud se povede přinutit uživatele, aby otevřel webovou stránku se speciálně upraveným skriptem a tento skript bude zpracovávat právě kjs, dojde v nejlepším případě k pádu prohlížeče. To se týká aplikace Konqueror, která je v KDE nejen výchozím webovým browserem, ale v podstatě náhražkou toho, co známe pod Windows a názvem Průzkumník (Explorer).

Shozením prohlížeče ale problém nekončí. Chybu lze využít také k vykonání cizího a neautorizovaného kódu na hostitelském počítači a v prostředí grafického rozhraní. V případě, že se distribuce GNU/Linux, na jejímž desktopu k takovému útoku dojde, používá správně, tedy s dobře nastavenou bezpečnostní politikou, je ohrožení způsobené tímto kódem spíše menší než značné. Pokud ale uživatel pracuje pod účtem administrátora nebo účtem s administrátorským oprávněním, dává tím svůj počítač všanc hackerovi.

UX16

I když jsme si podobné chyby zvykli vidět spíše na Windows (naposledy to bylo zpracování WMF souborů), existují i v komponentách open-source systémů. Tato je nicméně neobvyklá nejméně ve dvou věcech. Především, týká se množství různých, vzájemně nezávislých a nekompatibilních systémů, a přesto může být díky unifikovanému prostředí KDE nebezpečná na všech. Stačí ji zkombinovat s diletantským použitím počítače a je stejně nebezpečná jako kterákoli jiná podobá vada, ať už na Linuxu nebo jinde. A za druhé, její zneužití, respektive možnost jejího zneužití je poměrně jednoduchá. Stačí jen vyvinout dostatečnou snahu.

Výrobci hlavních distribucí již vydali své opravy, a tak pokud máte KDE 3.2.0 až 3.5.0, můžete aktualizovat. Musíte aktualizovat. Vzhledem k tomu, že množství potenciálně napadnutelných systémů je dosti velké, existuje reálné riziko vzniku nebezpečných serverů, maskujících se například za odborné tituly o problematice open-source. Zdá se, že doba, s níž se dalo počítat a která měla přinést problémy i do oblasti tradičně bezpečných systémů, je tady. Otázkou je, kolik dalších podobných vad se najde a jak bude vypadat jejich frekvence v nejbližší době. Osobně si troufnu odhadnout, že budou narůstat. Rychle.

125 názorů Vstoupit do diskuse
poslední názor přidán 9. 7. 2006 16:13
Zasílat nově přidané názory e-mailem

Školení UX: Jak zapojit uživatele do designu

  •  
    Jak dostat ono tajemné UX do designu.
  • Ve kterých fázích zapojit uživatele, abyste dostali nejvíc muziky za nejmíň peněz.
  • Jak vytvářet jednoduché a srozumitelné persony

Detailní informace o školení UX »