Firefox: Tiché aktualizace představují bezpečnostní riziko

24. 11. 2011

Sdílet

 Autor:
Podle bezpečnostního experta není nový aktualizační systém, který Mozilla připravuje pro svůj prohlížeč, dobrým řešením.

Mozilla již řadu měsíců pracuje na tichém aktualizačním systému pro Firefox, který by jeho uživatele zbavil otravných hlášení o dostupných opravách. V současné době je totiž pro instalaci aktualizace vyžadován souhlas uživatele, což je princip, na kterém staví většina prohlížečů. Mozilla by však ráda najela na systém používaný v konkurenčním Chromu. Jejím cílem je nový mechanismus zavést společně s Firefoxem 10, jehož vydání je naplánováno na 31. ledna. Je ale docela možné, že se objeví až v některé z dalších verzí, protože vývojářům se stále nedaří dodělat některé komponenty systému, o čemž jsme vás již informovali v článku Firefox 10 má přinést tiché aktualizace prohlížeče.

Nový aktualizační systém má fungovat tak, že si prohlížeč sám stáhne aktualizovanou verzi prohlížeče a tu nainstaluje do adresáře operačního systému. Teprve až ve chvíli, kdy bude chtít uživatel znovu spustit Firefox, se mu zobrazí již aktualizovaný prohlížeč, o čemž bude samozřejmě náležitě informován. Podle Philipa Liebermana, zakladatele a presidenta společnosti Lieberman Software, tvůrce nástrojů pro správu hesel, však může být takové řešení nebezpečné.

„Kromě toho, že mnoho bezpečnostních systémů bude muset být pro umožnění tichých aktualizací Firefoxu rekonfigurováno, což je sama o sobě dost špatná věc, je zde také riziko, že hackeři aktualizační systém použijí jako zadní vrátka k cizím počítačům,“ varuje Lieberman. Připouští, že tiché aktualizace by asi byly přívětivějším řešením pro koncové uživatele, to samé lze prý ale říci o kyberkriminálnících. Podle Liebermana je pouze otázkou času, kdy dojde k zneužití systému pro šíření škodlivých kódů. Upozorňuje přitom i na fakt, že Firefox je open source software.

Lieberman také připomněl, že na konferenci MalCon, která bude konat koncem tohoto týdne v Indii, by měla proběhnout demonstrace vůbec prvního bootkitu pro operační systém Windows 8, jehož autorem má být Peter Kleissner, hacker z White Hat. „Nemusíte být zrovna přeborníkem v programování, abyste si uvědomili, že díky bootkitu pro Windows 8 nebude příliš těžké zneužít systém tichých aktualizací takového open source softwaru, jakým je Firefox 10,“ říká Lieberman. Je zkrátka přesvědčen o tom, že by uživatelé měli zůstat součástí instalačního procesu aktualizací.