'Otwarty' patch do IE
- Sebastian Górski,
- 22.12.2003, godz. 13:40
Łatkę dla przeglądarki Internet Explorer, naprawiającą wykryty niedawno błąd w jej zabezpieczeniach, udostępniła na swojej stronie izraelska grupa, zajmująca się tworzeniem oprogramowania Open Source: Openwares.org. Jest to kolejny przykład wsparcia ze strony innych firm dla oprogramowania Microsoftu. Eksperci ostrzegają jednak, że łatka sama nie jest wolna od błędów...
O kolejnym błędzie w zabezpieczeniach IE, dotyczącym maskowania właściwego adresu strony internetowej pisaliśmy szerzej w artykule: "Nowa dziura w IE" (http://www.pcworld.pl/news/61892.html ). Jest to o tyle niebezpieczna usterka, że umożliwia wykradanie danych użytkowników IE.
Open Source'owy Patch
Plik o nazwie IEpatch.exe jest do pobrania ze strony Openwares.org (http://www.openwares.org ). Wraz z jego udostępnieniem pojawiły się jednak obawy o skuteczność działania "łatki". Niezależni eksperci ostrzegają przed jej pochopną instalacją, która, ich zdaniem, może spowodować jeszcze więcej problemów i zalecają tym samym poczekać na oficjalną aktualizację ze strony koncernu z Redmond. Poza plikiem nie zostały opublikowane żadne informacje na temat sposobu jego działania oraz dokonywanych zmian w konfiguracji samej przeglądarki. Brak też komentarzy - zarówno ze strony autorów, jak i ze strony najbardziej chyba zainteresowanego wiarygodnością poprawki - Microsoftu.
Zobacz również:
Specjaliści: nie tak prędko!
Są już natomiast pierwsze komentarze ze strony specjalistów od spraw bezpieczeństwa, którzy dogłębnie przeanalizowali udostępnioną przez Openwares.org poprawkę. Niemiecki portal technologiczny "Heise Zeitschriften Verlag" (http://www.heise.de ) podaje, iż łatka została dość nieudolnie skonstruowana i sama w sobie jest podatna na błąd przepełnienia bufora, który może w rezultacie doprowadzić do nieautoryzowanego przejęcia kontroli nad komputerem.
Przed instalacją łatki ostrzega również niezależny konsultant ds. bezpieczeństwa z Bostonu - Richard Smith. Podkreśla on, iż użytkownicy powinni zaczekać na oficjalną łatkę z Microsoftu, która w przeciwieństwie do udostępnionej przez Openware.org będzie zapewne lepiej przetestowana na wszelkich możliwych odmianach systemu operacyjnego Windows.
Podobne praktyki
Przykładów zastosowania oprogramowania z "trzeciej ręki" do łatania produktów Microsoftu jest już do tej pory kilka. Warto w tym miejscu wspomnieć o America Online, która samodzielnie wyłączyła swoim użytkownikom usługę Messenger (Posłaniec), wykorzystywaną przez spamerów do przesyłania użytkownikom reklam w postaci wiadomości pop-up. Kolejnym przykładem może być firma PivX Solutions, zajmująca się bezpieczeństwem komputerowym, która jest autorem łatki Qwik-Fix. Owa łatka dokonywała zmian w konfiguracji systemu, wyłączając nieużywane moduły, co z kolei mogło doprowadzić do innych zagrożeń. Sam Microsoft zaczyna stosować taktykę wyłączania wrażliwych modułów - przykładem może być najnowszy Service Pack 2 dla systemu Windows XP, w którym zdecydowano się na wyłączenie usługi Messenger i włączenie wbudowanego, systemowego firewalla.
Więcej informacji: http://www.openwares.org