Tanečky neoficiálních náplastí

Ilustrace: Nenad Vitas

Když Microsoft před drahnou dobou přešel na pravidelný měsíční cyklus vydávání záplat svých produktů a mnoho firem jej následovalo, měl takový krok spoustu rozumných důvodů. Snazší předvídatelnost, lepší kvalitu záplat, výhodnější pro administrátory i uživatele, kumulativní opravy více objevených chyb najednou. Celá věc však měla také několik háčků. Co když se například objeví v průběhu měsíčního cyklu chyba tak nebezpečná, že její ponechání způsobí uživatelům skutečný problém? Výrobci softwaru (zdaleka nejen Microsoft) ujišťovali, že v takovém případě bude následovat mimořádná a maximálně rychlá oprava i mimo stanovený cyklus.

Ehm. Řekněme si upřímně, že ono to s tou aktuálností vždycky tak aktuální nebude. Každý výrobce složitého softwaru podléhá pokušení objevenou kritickou vadu spíše na nějakou dobu ututlat a až pak, když si ověří, že jeho záplata funguje, ji zveřejnit. Strategie je to logická, ovšem jen do momentu, dokud se tutlání daří. V okamžiku, kdy informace o zjištěném nedostatku proniknou k „odborné“ veřejnosti – nedej bože v podobě exploitu -, již není důvod odkládat akci. Řekněme si upřímně i to, že dodavatelé, s Microsoftem v čele, výše uvedenou zásadu občas naprosto ignorují.

Výrobek, v našem případě software, by měl opravovat ten, kdo jej udělal. Jen skuteční autoři mu opravdu rozumí a – v případě proprietárního softwaru – mají přístup ke zdrojovým kódům (přinejmenším pro zápis). Přesto se ke komerčnímu softwaru již několikrát objevily záplaty třetích stran. Tedy opravy takových chyb, na něž výrobce nestihl zareagovat, ale které jsou podle odborníků nebezpečné. Jedna taková vyšla právě v pátek. Chyba v Internet Exploreru (a tím pádem i v dalších programech) je víceméně klasické buffer overflow a nachází se v části zodpovědné za zobrazování vektorové grafiky (vgx.dll). Autoři opravy se přičinili již o vznik jedné, podobné. Svůj výrobek plánují stáhnout v okamžiku, kdy Microsoft vydá oficiální záplatu. Jejich počin má zvýšit bezpečnost záskokem tam, kde se autoři postižené aplikace ukázali být nedostatečně pohotovými.

       

Záplaty bylo dosaženo metodou zpětného inženýrství a modifikace cizí knihovny. Daná knihovna je ve vztahu k ostatním komponentám Internet Exploreru. Protože je oprava neautorizovaná výrobcem, nemůže nikdo ručit za její funkčnost ani možnou destruktivitu. Narušuje skutečný aktualizační řetězec Microsoftu, protože vyvolává stav, kdy se jedna věc nachází ve dvou provedeních – neopraveném a „opraveném“. Je vydaná včetně zdrojového kódu, a tak může být paradoxně zneužita v neprospěch uživatelů.

Jinak řečeno, oprava vážné nebezpečnosti je sama potenciálně vážně nebezpečná. Stojí to za to? Posuďte sami. Já si myslím, že ano, protože se páni v Redmondu (Irsku, Indii a podobně) možná konečně probudí.