Obavy o bezpečnost Linuxu

Ilustrace: Nenad Vitas

Chyba objevená jistým Maksimem Orlovichem se nachází v kjs. To je komponenta systému KDE pro práci s Javascriptem (přesný popis chyby najdete v dokumentu, který pro tento případ vydalo samotné KDE). Její zneužití je nesmírně podobné starším, podobným chybám z Microsoft Windows a softwaru na něm. Pokud se povede přinutit uživatele, aby otevřel webovou stránku se speciálně upraveným skriptem a tento skript bude zpracovávat právě kjs, dojde v nejlepším případě k pádu prohlížeče. To se týká aplikace Konqueror, která je v KDE nejen výchozím webovým browserem, ale v podstatě náhražkou toho, co známe pod Windows a názvem Průzkumník (Explorer).

Shozením prohlížeče ale problém nekončí. Chybu lze využít také k vykonání cizího a neautorizovaného kódu na hostitelském počítači a v prostředí grafického rozhraní. V případě, že se distribuce GNU/Linux, na jejímž desktopu k takovému útoku dojde, používá správně, tedy s dobře nastavenou bezpečnostní politikou, je ohrožení způsobené tímto kódem spíše menší než značné. Pokud ale uživatel pracuje pod účtem administrátora nebo účtem s administrátorským oprávněním, dává tím svůj počítač všanc hackerovi.

       

I když jsme si podobné chyby zvykli vidět spíše na Windows (naposledy to bylo zpracování WMF souborů), existují i v komponentách open-source systémů. Tato je nicméně neobvyklá nejméně ve dvou věcech. Především, týká se množství různých, vzájemně nezávislých a nekompatibilních systémů, a přesto může být díky unifikovanému prostředí KDE nebezpečná na všech. Stačí ji zkombinovat s diletantským použitím počítače a je stejně nebezpečná jako kterákoli jiná podobá vada, ať už na Linuxu nebo jinde. A za druhé, její zneužití, respektive možnost jejího zneužití je poměrně jednoduchá. Stačí jen vyvinout dostatečnou snahu.

Výrobci hlavních distribucí již vydali své opravy, a tak pokud máte KDE 3.2.0 až 3.5.0, můžete aktualizovat. Musíte aktualizovat. Vzhledem k tomu, že množství potenciálně napadnutelných systémů je dosti velké, existuje reálné riziko vzniku nebezpečných serverů, maskujících se například za odborné tituly o problematice open-source. Zdá se, že doba, s níž se dalo počítat a která měla přinést problémy i do oblasti tradičně bezpečných systémů, je tady. Otázkou je, kolik dalších podobných vad se najde a jak bude vypadat jejich frekvence v nejbližší době. Osobně si troufnu odhadnout, že budou narůstat. Rychle.