Boje mezi Googlem a Microsoftem pokračují. První jmenovaná firma se opřela do Redmondských kvůli přístupu k záplatování Windows. Ve dlouhém příspěvku se Mateusz Jurczyk, bezpečnostní výzkumník a člen skupiny kolem projektu Zero, rozepsal o tom, jak Microsoft stejné chyby neopravuje ve všech verzích Windows. Na konkrétním příkladu dokládá, že zatímco byla díra dříve opravena v Desítkách, Sedmičky a Osmičky opravu získaly o několik měsíců později.
Rutinní opravy a nové zabezpečovací prvky
V tomto bodě bych rád podotkl, že ale musíme rozlišovat dva aspekty. Za prvé, ve více systémech se nachází stejná chyba, kterou pak Microsoft dodatečně opraví. Ve druhém případě je operační systém bezpečnější díky přidaným bezpečnostním prvkům v nových hlavních verzích Windows, díky nimž tak stejné chyby nemusí být v novějším systému zneužitelné.
Každý rok opakuje Microsoft (analogicky by se to dalo prohlásit snad o každým výrobci operačních systémů), že nejnovější verze Windows jsou nejbezpečnější – právě díky novým zabezpečovacím prvkům. Nelze očekávat, že by tyto prvky výrobce přidával zpětně do starších řad systému. Proto i novinářská obec k důvodům upgradu zpravidla vyzdvihuje lepší zabezpečení, protože zatímco se ve starších systémech pouze lepí nalezené díry, nové řady Windows proaktivně vytváří další úrovně ochrany.
Proto již od vydání platí, že Osmičky jsou bezpečnější než Sedmičky a že Desítky jsou bezpečnější než Sedmičky i Osmičky. (Teoreticky se může zabezpečení nové verzi zhoršit, ale takový scénář si lze představit jen velmi stěží.) Proto jakékoli zjištění, že Windows 7 je dnes méně bezpečný než o téměř 10 let mladší systém, nemůže být nikdy překvapivé. Je to dané vývojem a životním cyklem softwaru.
Které verze Windows jsou děravé?
I zmíněný výzkumník z Googlu našel několik souvisejících děr v GDI+. Pokud vysledujeme s problémem spojené označení slabého místa v zabezpečení CVE-2017-8677, aspoň podle oficiálních informací zjistíme, že tato díra byla nalezena ve Windows 7, 8.1 a ve všech vydáních Desítek od prvního po zatím poslední (tj. Creators Update). Všechny uvedené i další verze Windows byly záplatovány 12. září 2017.
S GDI+ je spojeno ještě několik dalších dílčích děr. Některé jsou oficiálně hlášené jen ve Windows 7 a 8.1, tj. nikoli ve Windows 10. Týká se to např. CVE-2017-8680. Je obtížné hodnotit díru ve vztahu k Desítkám, neboť podle oficiálního záznamu mj. tato díra v Desítkách přítomna nebyla, nebylo tudíž co opravovat. Např. CVE-2017-8688 se opět dotýká starších i novějších řad Windows, i v tomto případě byla oprava všem systémům shodně nabídnuta 12. září.
Nové řady Windows zpravidla přidávají nové bezpečnostní prvky, takže je systém bezpečnějšíZ těchto informací vyplývá, že pokud se díra v systému vyskytovala, byla opravena shodně ve všech podporovaných a zároveň dotčených řadách Windows. Výzkumník z Googlu tvrdí, že zatímco Microsoft implementuje nové bezpečnostní prvky pouze do poslední řady Windows (což je podle mě zcela v pořádku), děje se to stejné někdy též v případě obyčejných bezpečnostních záplat. Kdyby Microsoft v tomto směru starší, ale stále podporované řady Windows zanedbával, to by v pořádku nebylo.
Díry, které oficiálně (ne)existují
Jurczyk zanalyzoval nahlášené slabé místo v zabezpečení Windows (záznam č. 1267 v nástroji na sledování problémů v projektu Zero). Došel k závěru, že díra, na níž narazil ve Windows 7 a 8.1, byla ve Windows 10 již opravena. V tomto případě víme, že díra v Desítkách nebyla přítomna koncem května.
Zato v Sedmičkách a Osmičkách byla vyřešena až pomocí aktualizací KB4038777/KB4038779 a KB4038792/KB4038793 pro Windows 7 a 8.1 (díra je asociována s již zmíněným záznamem CVE-2017-8680). Dvojice záplat však byla uvolněna 12. září 2017. Tato zjištění naznačují, že oficiálně Microsoft nepřiznal, že se díra v Desítkách nacházela. Reálně ovšem existovat musela, takže ji potichu opravil dřív, zatímco starší řady Windows čekaly na záplatu do září.
To nezní jako dobrý přístup, když se bavíme o oficiálně podporovaných produktech. Na druhou stranu neznámé díry nikdo nezneužívá. Google dává každému výrobci softwaru 90 dní na to, aby nalezenou díru opravil. (Což je podle některých šibeniční termín.) Po skončení lhůty nesmlouvavě odhaluje detaily, takže crackerským entitám vlastně dává návod, jak něco nahackovat.
Závěr
Zmíněné slabé místo v zabezpečení bylo Microsoftu nahlášeno na konci května, záplaty se Windows 7 a 8.1 dočkal v polovině září. To jsou zhruba tři a půl měsíce. Záplata pro starší Windows tedy vyšla krátce po zveřejnění detailů o příslušné díře v systémech. Samotný proces opravování v tomto ohledu Redmondští zvládli bez výraznějších potíží.
Ačkoli se Microsoftu nechci za každou cenu zastávat, lze pochopit, že největší úsilí věnuje nejčerstvějšímu produktu. Pokud se o chybě veřejně nevědělo, neměl ji kdo zneužít. A když na ni přišel Google, tj. stala se veřejně známým problém, záplata k systémům se staršími řadami Windows v rozumném čase doputovala. To je podle mě to hlavní – jde z větší části o přístup k řešení nahlášených problémů.
Přehnaná hysterie v tomto případě dle mého názoru není namístě. Jak jsem navíc uvedl na začátku, každá nová řada Windows je z logiky věci a od samého začátku bezpečnější než předchozí. Platí to také pro jednotlivá vydání Desítek.
ČLÁNKY DO MAILU