Hlavní navigace

Tanečky neoficiálních náplastí

Vojtěch Bednář 25. 9. 2006

Není to poprvé, ale vždy to znova a znova překvapí. Skupina profesionálů, řekněme že především "bezpečnostního" ražení, se jala záplatovat Internet Explorer. Je jejich konání k dobru věci? Těžko říci...

Vojtěch Bednář

Ilustrace: Nenad Vitas

Když Microsoft před drahnou dobou přešel na pravidelný měsíční cyklus vydávání záplat svých produktů a mnoho firem jej následovalo, měl takový krok spoustu rozumných důvodů. Snazší předvídatelnost, lepší kvalitu záplat, výhodnější pro administrátory i uživatele, kumulativní opravy více objevených chyb najednou. Celá věc však měla také několik háčků. Co když se například objeví v průběhu měsíčního cyklu chyba tak nebezpečná, že její ponechání způsobí uživatelům skutečný problém? Výrobci softwaru (zdaleka nejen Microsoft) ujišťovali, že v takovém případě bude následovat mimořádná a maximálně rychlá oprava i mimo stanovený cyklus.

Ehm. Řekněme si upřímně, že ono to s tou aktuálností vždycky tak aktuální nebude. Každý výrobce složitého softwaru podléhá pokušení objevenou kritickou vadu spíše na nějakou dobu ututlat a až pak, když si ověří, že jeho záplata funguje, ji zveřejnit. Strategie je to logická, ovšem jen do momentu, dokud se tutlání daří. V okamžiku, kdy informace o zjištěném nedostatku proniknou k „odborné“ veřejnosti – nedej bože v podobě exploitu -, již není důvod odkládat akci. Řekněme si upřímně i to, že dodavatelé, s Microsoftem v čele, výše uvedenou zásadu občas naprosto ignorují.

Výrobek, v našem případě software, by měl opravovat ten, kdo jej udělal. Jen skuteční autoři mu opravdu rozumí a – v případě proprietárního softwaru – mají přístup ke zdrojovým kódům (přinejmenším pro zápis). Přesto se ke komerčnímu softwaru již několikrát objevily záplaty třetích stran. Tedy opravy takových chyb, na něž výrobce nestihl zareagovat, ale které jsou podle odborníků nebezpečné. Jedna taková vyšla právě v pátek. Chyba v Internet Exploreru (a tím pádem i v dalších programech) je víceméně klasické buffer overflow a nachází se v části zodpovědné za zobrazování vektorové grafiky (vgx.dll). Autoři opravy se přičinili již o vznik jedné, podobné. Svůj výrobek plánují stáhnout v okamžiku, kdy Microsoft vydá oficiální záplatu. Jejich počin má zvýšit bezpečnost záskokem tam, kde se autoři postižené aplikace ukázali být nedostatečně pohotovými.

Záplaty bylo dosaženo metodou zpětného inženýrství a modifikace cizí knihovny. Daná knihovna je ve vztahu k ostatním komponentám Internet Exploreru. Protože je oprava neautorizovaná výrobcem, nemůže nikdo ručit za její funkčnost ani možnou destruktivitu. Narušuje skutečný aktualizační řetězec Microsoftu, protože vyvolává stav, kdy se jedna věc nachází ve dvou provedeních – neopraveném a „opraveném“. Je vydaná včetně zdrojového kódu, a tak může být paradoxně zneužita v neprospěch uživatelů.

Jinak řečeno, oprava vážné nebezpečnosti je sama potenciálně vážně nebezpečná. Stojí to za to? Posuďte sami. Já si myslím, že ano, protože se páni v Redmondu (Irsku, Indii a podobně) možná konečně probudí.

Našli jste v článku chybu?

26. 9. 2006 19:49

Řekl bych, že autor "zápisem" myslel to, že oprava se dostane do oficiální "distribuce", tj. že to není nějaká oprava třetí strany, kterou oficiální oprava od MS příště vymaže.

26. 9. 2006 9:15

Petr (neregistrovaný)
To neni otazka vzdelani (ve smyslu pasivne prijatych informaci), to je otazka zkusenosti.

Protoze ve vsech velkych firmach kod pisou jen juniori na entry-level pozicich. Po trech letech uz ma kazdy pocit, ze uz se vody nanosil dost a ze by tomu mel zacit delat group leadera (tj. buzerovat kodery).

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

Vitalia.cz: Jak koupit Mikuláše a nenaletět

Jak koupit Mikuláše a nenaletět

Vitalia.cz: Vláknina: Rozpustná, nebo nerozpustná?

Vláknina: Rozpustná, nebo nerozpustná?

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...