Hlavní navigace

Obavy o bezpečnost Linuxu

Vojtěch Bednář 25. 1. 2006

Bezpečnostních chyb objevovaných v open-source softwaru pomalu přibývá. Jedna z posledních, nalezená v KDE, je dokonalou ukázkou toho, jak se obavy pesimistů, že se zde zopakuje situace z Windows, začínají naplňovat.

Vojtěch Bednář

Ilustrace: Nenad Vitas

Chyba objevená jistým Maksimem Orlovichem se nachází v kjs. To je komponenta systému KDE pro práci s Javascriptem (přesný popis chyby najdete v dokumentu, který pro tento případ vydalo samotné KDE). Její zneužití je nesmírně podobné starším, podobným chybám z Microsoft Windows a softwaru na něm. Pokud se povede přinutit uživatele, aby otevřel webovou stránku se speciálně upraveným skriptem a tento skript bude zpracovávat právě kjs, dojde v nejlepším případě k pádu prohlížeče. To se týká aplikace Konqueror, která je v KDE nejen výchozím webovým browserem, ale v podstatě náhražkou toho, co známe pod Windows a názvem Průzkumník (Explorer).

Shozením prohlížeče ale problém nekončí. Chybu lze využít také k vykonání cizího a neautorizovaného kódu na hostitelském počítači a v prostředí grafického rozhraní. V případě, že se distribuce GNU/Linux, na jejímž desktopu k takovému útoku dojde, používá správně, tedy s dobře nastavenou bezpečnostní politikou, je ohrožení způsobené tímto kódem spíše menší než značné. Pokud ale uživatel pracuje pod účtem administrátora nebo účtem s administrátorským oprávněním, dává tím svůj počítač všanc hackerovi.

EBF16

I když jsme si podobné chyby zvykli vidět spíše na Windows (naposledy to bylo zpracování WMF souborů), existují i v komponentách open-source systémů. Tato je nicméně neobvyklá nejméně ve dvou věcech. Především, týká se množství různých, vzájemně nezávislých a nekompatibilních systémů, a přesto může být díky unifikovanému prostředí KDE nebezpečná na všech. Stačí ji zkombinovat s diletantským použitím počítače a je stejně nebezpečná jako kterákoli jiná podobá vada, ať už na Linuxu nebo jinde. A za druhé, její zneužití, respektive možnost jejího zneužití je poměrně jednoduchá. Stačí jen vyvinout dostatečnou snahu.

Výrobci hlavních distribucí již vydali své opravy, a tak pokud máte KDE 3.2.0 až 3.5.0, můžete aktualizovat. Musíte aktualizovat. Vzhledem k tomu, že množství potenciálně napadnutelných systémů je dosti velké, existuje reálné riziko vzniku nebezpečných serverů, maskujících se například za odborné tituly o problematice open-source. Zdá se, že doba, s níž se dalo počítat a která měla přinést problémy i do oblasti tradičně bezpečných systémů, je tady. Otázkou je, kolik dalších podobných vad se najde a jak bude vypadat jejich frekvence v nejbližší době. Osobně si troufnu odhadnout, že budou narůstat. Rychle.

Našli jste v článku chybu?
Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Vitalia.cz: Běháte a nehubnete? 6 častých chyb

Běháte a nehubnete? 6 častých chyb

Podnikatel.cz: Vrcholový řídící zaměstnanec za 75 tisíc

Vrcholový řídící zaměstnanec za 75 tisíc

Měšec.cz: „Ukradli“ jsme peníze z bezkontaktních karet

„Ukradli“ jsme peníze z bezkontaktních karet

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

DigiZone.cz: LG OLED65E6: první pohled

LG OLED65E6: první pohled

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Podnikatel.cz: „Lex Babiš“ Babišovi paradoxně pomůže

„Lex Babiš“ Babišovi paradoxně pomůže

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr