Microsoft vs. hackeři: Bude chyba v IE dříve zazáplatována nebo zneužita?

26. 11. 2009

Sdílet

Nově objevená chyba v Internet Exploreru se stává předmětem diskusí. Microsoft na ni zatím nevydal záplatu a hackeři ji zatím nezneužili. Kdo bude první?

Již v pondělí jsme vás na Computerworldu informovali o nové chybě v prohlížeči Internet Explorer 6 a 7. Ta ohrožuje uživatele používající Windows 2000, XP i Vista, kteří nemají aktualizovaný prohlížeč na nejnovější verzi 8.  Protože byl nebezpečný kód publikován na hojně čtené online konferenci Bugstraq, odborníci tvrdí, že závod je již v plném proudu.

Ben Greenbaum z bezpečnostního teamu společnosti Symantec řekl, že se jedná o závažnou hrozbu. „Rozhodně se jedná o závod s časem a hackery,“ dodal Greenbaum. Je totiž pouze otázkou času, kdy hackeři sepíší a rozšíří ten správný kód, který dokáže chyby zneužít. Otázkou času je i to, kdy Microsoft tuto závažnou chybu opraví, oficiálně je totiž opravný balíček plánovaný až na 8. prosince.

„Určitě to můžeme označit za určitý druh závodu,“ přidal se k tvrzení Greenbauma Wolfgang Kandek, technologický ředitel bezpečnostní společnosti Qualys. Podle Kandeka se už varianty kódu objevily na některých webech. „Nicméně, útočníci stále pracují na spolehlivější a lepší verzi,“ dodal.

Greenbaum totiž tvrdí, že prvotní kód byl pochybný. Podle testů Symantecu totiž pracuje pouze omezený čas a to jen na některých platformách.  Práce na vylepšení kódu pro útočníky prý nebude jednoduchá, ale ani příliš složitá, spíše něco mezi, tvrdí Greenbaum. „Nebude to triviální, ale nebude to ani Svatý grál programování,“ dodal.

Microsoft zatím pouze vydal opatření, jak mohou uživatelé chránit své počítače, dokud nebude k dispozici oprava. Pro zvýšení bezpečnosti svých prohlížečů, by uživatelé měli aktivovat bezpečnostní prvek „Omezení spouštění dat, “ případně cokoli jiného, co dokáže blokovat spouštění javascriptu, přes který je útok prováděn.

Kandek ze společnosti Qualys je ovšem k takovým radám dost skeptický. Aktivace doporučeného bezpečnostního prvku totiž znamená, že prohlížeč se stává značně méně použitelným, protože javascript je vývojáři webu hodně používaný. Dalším doporučením je přechod na verzi IE 8, i k tomu má Kandek výhrady. „Na IE 8 mohou uživatelé přejít doma, ale v zaměstnání to ve většině případů možné není.“

Jak již bylo zmíněno výše, Microsoft plánuje další sadu oprav na 8. prosince, většina expertů však nepředpokládá, že patch by byl k dispozici tak „brzy.“ Internet Explorer je pro Microsoft důležitým programem a bude tak rozhodně chtít patch otestovat skrz na skrz. V příštích 14 dnech se tedy uživatelé opravy pravděpodobně nedočkají, nicméně nebezpečného kódu by se však již dočkat mohli, útočníci se totiž budou snažit v závodě zvítězit s co největším náskokem. Na koho byste si vsadili vy?