Mluví internetový gigant pravdu, že tak učinil v zájmu
uživatelek a uživatelů? Díra v tak krátkém časovém rozmezí opravena nebyla a je aktivně
zneužívána. Zneužití po zveřejnění mohou jen narůstat. Pokud ovšem
nepoužijete Chrome, který dokáže případům zneužití zabránit. Dobře pro Google.
Snaha přitlačit na jinou firmu, aby poctivě záplatovala, ale nesmí být
podkopána tím, že si jiná firma vezme do rukou uživatelskou základnu.
Striktní lhůty u Googlu
Tento postup je nestandardní. Vždyť ještě začátkem loňského
roku jsme psali o tom, že Google vytvořil tým zabývající se hledáním děr
v softwarech třetích stran. Stanovil s tím pravidlo, a sice že má
výrobce 90 dní na opravu díry, pak
budou detaily zveřejněny. Postup je striktní a již tehdy se mluvilo o tom,
že není zcela ideální, protože 90 dní nemusí na opravu stačit. Předčasné
zveřejnění informací může napomoct v šíření zneužívání.
Proč v tomto případě Microsoft nedostal 90 dní?
Protože Google stanovil více úrovní problémů a tento spadal do kategorie,
kdy se čeká
pouhých sedm dní. Firma sama uvádí, že dle jejích zkušeností je omezený
útok v mnoha případech horší než široký útok, který ale typicky následující
po zveřejnění informací o slabém místě v zabezpečení.
Jaký je dostatečný čas na opravu díry v softwaru? (Ilustrační foto)
Google tvrdí, že každý den, kdy je odhalená a již neužívaná
díra dále zneužívána, více a více počítačů padne za oběť útokům skrze toto
slabé místo. Čemuž předčasné veřejné odhalení díry nepomůže. Internetový gigant
agresivní přístup obsahuje tím, že sedm dní je pro výrobce dostatečně dlouhou
dobou, aby stihl zveřejnit dočasná řešení. Což Microsoft nezvládl. Tím, že
Google zveřejnil řešení, nám dává možnost, abychom se před případným zneužitím
sami bránili. V tomto případě používáním Chromu.
Přiměřený čas na reakci
Za příklad Google dává firmu Adobe, které nahlásil díru ve
Flash Playeru. Je to ta, jež již byla opravena – záplatu mj. Microsoft distribuuje
skrze Windows Update pro své prohlížeče. Windows ovšem není jednoduchý a
jednoúčelový kus softwaru, ale jeden z nejkomplexnějších druhů softwaru.
Kritikové a kritičky rychlého zveřejňování informací o již
zneužívaných kritických dírách poukazují na to, že identifikovat problém a opravit jej, není tak jednoduché.
Proces se skládá z více kroků. Záplata musí být
vyrobena, pak dochází k jejímu otestování. Pakliže vyřeší problém
a současně nezpůsobí další, může být nasazena. Nemusí to vyjít napoprvé. Tento
proces je důkladný a pomalý zejména v citlivém podnikovém prostředí. Závěr?
Tlak na to, aby byly díry záplatovány, je jistě v určité míře žádoucí a je
v našem zájmu, aby firmy problémy nepřehlížely. Politika Googlu je ale
pravděpodobně až příliš agresivní a proklamované blaho uživatelstva je
diskutabilní.
Chcete mít aspoň trochu klid na duši? Podle zdroje VentureBeat
ke zneužití dnes popsaného slabého místa v zabezpečení Windows je potřeba právě
děravého Flash Playeru. Pakliže tedy máte aspoň aktuální zásuvný modul, nemělo
by k případnému napadení počítače skrze díru v systému dojít.
Microsoft jistě v krátké době zareaguje a záplatu vypustí skrze Windows
Update. Prostor pro diskuzi nad tím, jak postupovat s publikací informací
a nově objevených dírách, mezitím zůstává.
Zdroj: Google
Online Security Blog