Google oznámil, že odhalil díru ve Windows a nyní detaily
zveřejňuje v zájmu ochrany uživatelstva. To by samo o osobě nemuselo být
ničí proti ničemu. Jenže Google
informace zveřejnil necelé dva týdny poté, co slabé místo v zabezpečení
nahlásil Microsoftu. Došlo k tomu 21. října, tedy předminulý
pátek. Běžně se na opravy nechávají řádově měsíce; čekat se zveřejněním tři měsíce
je běžná praxe. Ne však u Googlu.
Mluví internetový gigant pravdu, že tak učinil v zájmu
uživatelek a uživatelů? Díra v tak krátkém časovém rozmezí opravena nebyla a je aktivně
zneužívána. Zneužití po zveřejnění mohou jen narůstat. Pokud ovšem
nepoužijete Chrome, který dokáže případům zneužití zabránit. Dobře pro Google.
Snaha přitlačit na jinou firmu, aby poctivě záplatovala, ale nesmí být
podkopána tím, že si jiná firma vezme do rukou uživatelskou základnu.
Striktní lhůty u Googlu
Tento postup je nestandardní. Vždyť ještě začátkem loňského
roku jsme psali o tom, že Google vytvořil tým zabývající se hledáním děr
v softwarech třetích stran. Stanovil s tím pravidlo, a sice že má
výrobce 90 dní na opravu díry, pak
budou detaily zveřejněny. Postup je striktní a již tehdy se mluvilo o tom,
že není zcela ideální, protože 90 dní nemusí na opravu stačit. Předčasné
zveřejnění informací může napomoct v šíření zneužívání.
Proč v tomto případě Microsoft nedostal 90 dní?
Protože Google stanovil více úrovní problémů a tento spadal do kategorie,
kdy se čeká
pouhých sedm dní. Firma sama uvádí, že dle jejích zkušeností je omezený
útok v mnoha případech horší než široký útok, který ale typicky následující
po zveřejnění informací o slabém místě v zabezpečení.
Jaký je dostatečný čas na opravu díry v softwaru? (Ilustrační foto)
Google tvrdí, že každý den, kdy je odhalená a již neužívaná
díra dále zneužívána, více a více počítačů padne za oběť útokům skrze toto
slabé místo. Čemuž předčasné veřejné odhalení díry nepomůže. Internetový gigant
agresivní přístup obsahuje tím, že sedm dní je pro výrobce dostatečně dlouhou
dobou, aby stihl zveřejnit dočasná řešení. Což Microsoft nezvládl. Tím, že
Google zveřejnil řešení, nám dává možnost, abychom se před případným zneužitím
sami bránili. V tomto případě používáním Chromu.
Přiměřený čas na reakci
Za příklad Google dává firmu Adobe, které nahlásil díru ve
Flash Playeru. Je to ta, jež již byla opravena – záplatu mj. Microsoft distribuuje
skrze Windows Update pro své prohlížeče. Windows ovšem není jednoduchý a
jednoúčelový kus softwaru, ale jeden z nejkomplexnějších druhů softwaru.
Kritikové a kritičky rychlého zveřejňování informací o již
zneužívaných kritických dírách poukazují na to, že identifikovat problém a opravit jej, není tak jednoduché.
Proces se skládá z více kroků. Záplata musí být
vyrobena, pak dochází k jejímu otestování. Pakliže vyřeší problém
a současně nezpůsobí další, může být nasazena. Nemusí to vyjít napoprvé. Tento
proces je důkladný a pomalý zejména v citlivém podnikovém prostředí. Závěr?
Tlak na to, aby byly díry záplatovány, je jistě v určité míře žádoucí a je
v našem zájmu, aby firmy problémy nepřehlížely. Politika Googlu je ale
pravděpodobně až příliš agresivní a proklamované blaho uživatelstva je
diskutabilní.
Chcete mít aspoň trochu klid na duši? Podle zdroje VentureBeat
ke zneužití dnes popsaného slabého místa v zabezpečení Windows je potřeba právě
děravého Flash Playeru. Pakliže tedy máte aspoň aktuální zásuvný modul, nemělo
by k případnému napadení počítače skrze díru v systému dojít.
Microsoft jistě v krátké době zareaguje a záplatu vypustí skrze Windows
Update. Prostor pro diskuzi nad tím, jak postupovat s publikací informací
a nově objevených dírách, mezitím zůstává.
Zdroj: Google
Online Security Blog
google je už opravdu horší než MS v nekalých praktikách. Dodnes se pamatuju, jak tlačili heslo „don’t be evil“ – to zřejmě už neplatí, platilo-li kdy vůbec.
Vzhledem k schopnosti MS opravovat svoje problémy by bylo i 90 dnů málo. Takhle se to alespoň dostalo k očím „veřejnosti“ a MS donucen konečně hejbnout zadkem.
Tak hlavně že Google „opravuje“ díry a chyby v Androidu, že? 🙂
Za 2 týdny se nedá opravit nic, navíc to celé působí jako reklama na chromajzla.
A to jde o chybu ve Windows nebo Androidu? Že si nikdy nejsem jistý, jak do jednoduchého problému začnou jiní tahat své dětské preference OS.
Vidím, že jsi nic nepochopil, tak ještě jednou: je moc pěkné a dojemné, že se Google stará o cizí systémy, ale předtím by si měl zamést před vlastním prahem a opravit si SVŮJ OS, který je děravý jak řešeto, a jehož patchování je v 99,9% případů vychcaně zcela svěřeno výrobci zařízení. To je jednoduchý problém, o kterém Google ví, ale nijak jej neřeší.
O dětských preferencích nepadlo ani slovo, já ostatně žádné zásadní nemám, aktivně používám všechny hlavní platformy na PC (Win/Lin/BSD/OSX), na mobilech totéž (včetně dožívajícího BB).
Tak tě prosím, než začneš vést ty své rádoby nestranné řeči, zkus se zamyslet, jestli se svou dětskou ne-argumentací nevypadáš jako pitomec.
Vídím, že jsi nepochopil, že narážím na jiný OS ve zpravě o jiném OS … geniální úvaha.
Jistě jsi nepochopil, že ten, kdo by měl (cituji) „hejbnout zadkem“ je především Google, a tedy že by si měl nejprve zamést před vlastním prahem.
Narozdíl od tebe totiž vidím svět v souvislostech a nejsem fixovaný na jeden izolovaný „problém“.
Pořád lepší fixace na problém než „butthurt“ syndrom.
a teď už jsi jen trapně osobní. 😉
Díky, žes mimovolně uznal svou chybu.
To není osobní, to je jen ukončení fixace na jeden problém a to je, že MS má další velkou díru v OS.
Svou chybu uznávat nemusím, protože zde, jak článek uvádí, udělal chybu MS 😀
Ale jo je to sranda, jak se z jednoduché situace snaží někteří jedinci vyklubat flamewar. Doufám, že si to moralizování užíváte, mám z vás radost – někomu holt stačí málo.
Do osobní roviny to taháš jen ty. Já se snažím argumentovat, nejen proto, že MS ať je jaký chce, tak na jeho systémech běhají firmy, a nemůže bez testování hodit do placu patch klíčových souborů systému, který sestřelí půlku serverů na planetě. A v takovém ohledu je 90 dní na odstranění chyby prostě málo, jen testování zabere podobný čas. A argumentuju tak i proto, že MS-haterů jako jsi ty jsou kvanta.
Ale já nejsem MS hater, já vyjma Windows Mobile platformy používám a servisuji hodně typu softwaru od MS.
MS si zaslouží čočky jako každá jiná firma, která udělá botu a neřeší ji dostatečně rychle. Hatování nebo jiné detské přezdívky tomu dávat můžete, ale nic to nezmění na dané situaci.
MS a ve směs všichni kterých se to týká by měli informovat uživatele jak se chybě v zabezpečení dočasně chránit dokud nebude vydána oprava.
Ten útok je veden přes Flash, takže stačí Flash odinstalovat nebo updatovat (u NPAPI, tj. dnes už jen FF), a/nebo nepoužívat ten nový šíleně idiotský Explorer.
Ještě k článku: podle linku co je v článku šlo o to, že Google zveřejnil informace o exploitu, který se již používá a o němž útočníci vědí, tudíž jakékoli další tutlání je v podstatě zbytečné (script kiddies jsou v tomto ohledu neškodní).