SVG soubory postrachem webových prohlížečů

22. 10. 2011

Sdílet

 Autor: © HaywireMedia - Fotolia.com
Společnost Opera Software uvolnila aktualizaci pro svůj desktopový prohlížeč s cílem opravit kritickou trhlinu ve zpracovávání Scalable Vector Graphics (SVG) souborů, jež byla odhalena před týdnem.

Společnost popírá, že odmítla opravit tuto chybu, když na ni byla upozorněna dříve v tomto roce.

Trhliny ve zpracovávání SVG souborů jsou běžné a většina výrobců prohlížečů s nimi má zkušenosti. Podobné problémy jsou většinou odhaleny s pomocí automatických programů pojmenovaných "fuzzers", které se snaží dostat poškozený obsah do SVG parserů a doufají ve spuštění využitelných chyb.

Poslední Google Chrome obsahoval aktualizaci opravující chybu týkající se SVG fontů, kritická zranitelnost SVG byla také opravena v prohlížeči Firefox 6.

Bezpečnostní výzkumník José A. Vzquez vzbudil na začátku minulého týdne ohlas, jelikož zveřejnil proof-of-concept použitelný kód pro neopravenou trhlinu v prohlížeči Opera.

Zveřejňování bezpečnostních problémů bez předešlého kontaktování poškozeného výrobce je všeobecně v komunitě zabývající se bezpečností odsuzováno, nicméně není to nijak zvlášť neobvyklé. Nicméně, v tomto případě výzkumník tvrdí, že se snažil jednat odpovědně, ale neúspěšně.

"V tomto příspěvku odkrývám problém, který jsem objevil před 362 dny a jenž byl nahlášen společnosti Opera využitím SSD programu (SecuriTeam Secure Disclosure), ale ona se rozhodla tento problém neopravit," napsal Vzquez na svém blogu 10. října.

Problém je výsledkem chyby ve zpracovávání SVG kódu prohlížečem Opera a může být zneužit ke spuštění libovolného kódu tím, že naláká uživatele k načítání speciálně vytvořených SVG obrázků s poškozenými fonty.

Společnost Opera přiznává, že jí byla trhlina oznámena zhruba před šesti měsíci, ovšem jako součást větší zprávy. Nicméně firma tvrdí, že tehdy nebyla schopná tento problém vyřešit. Podle jejího vyjádření se snažila od výzkumníka získat více informací, ale byla neúspěšná.

"V tomto případě byl problém potvrzen pouze u starších verzí Opery, ne u aktuální verze, jež byla k dispozici v době nahlášení problému, a nedávno zveřejněné informace obsahují detaily, které se v originální zprávě neobjevily a které se nakonec ukázaly jako velmi důležité k nalezení problému," prozradil Sigbjrn Vik, inženýr kvality u společnosti Opera.

"Naším vydáním prohlížeče Opera 11.52 opravujeme tento problém a to méně než týden poté, co jsme získali potřebné informace. Doporučujeme všem uživatelům Opery, aby stáhli a nainstalovali nejnovější verzi," dodává.

Kromě napravení SVG trhliny Opera 11.52 také obsahuje opravy na problémy, které se netýkají bezpečnosti, například pro downloady pomocí BitTorrentů, HTML5 videa a chyby stránek X-Frame-Options.