Internet Explorer 6 musi odejść!

.. / Bezpieczeństwo / Bezpieczeństwo komputera osobistego / Błędy aplikacji: Dziury w programach

Sebastian Górski

Kolejne dziury w IE? To już chyba nikogo nie dziwi. Łączna liczba 16 luk wykrytych w ostatnich dwóch miesiącach w przeglądarce Internet Explorer, powiększyła się właśnie o trzy kolejne przypadki. Dwa z nich zostały ocenione przez specjalistów z duńskiej firmy Secunia, jako krytyczne. Sami przedstawiciele Microsoftu, powoli zdają sobie sprawę z faktu, iż potrzebne są zmiany. Niewykluczone, że wbrew wcześniejszym zapowiedziom, jeszcze przed premierą systemu Longhorn, zdecydują się na udostępnienie nowej wersji Internet Explorera. Czy to pomoże koncernowi utrzymać pozycję lidera na rynku przeglądarek internetowych?

Ostatnie, krytyczne luki w Internet Explorerze 6, o których informują specjaliści z firmy Secunia, zostały wykryte przez użytkownika o pseudonimie Cyber Flash. Ich wykorzystanie zostało przetestowane na systemie Windows XP, wyposażonym w ostatni pakiet poprawek Service Pack 2. Obie dziury mogą zostać wykorzystane przez potencjalnych napastników do zmylenia nieświadomego użytkownika i pobrania przez niego plików na lokalny dysk, zawierających niebezpieczny pakunek (np. wirusa).

Luki, luki, luki

Pierwsza z luk dotyczy funkcji ostrzegania użytkownika przed otwarciem konkretnego typu pliku, która została zaimplementowana w dodatku Service Pack 2. Problem pojawia się wtedy, gdy pobierany plik zostanie wysłany z odpowiednio spreparowanym nagłówkiem HTTP "Content-Location" lub będzie pobierany ze zmodyfikowanego przez napastnika adresu URL. W takich przypadkach, ostrzeżenie może się w ogóle nie pojawić. Drugi błąd dotyczy zapisywania dokumentów z użyciem funkcji JavaScript o nazwie "execCommand()". Może on być wykorzystany do nieautoryzowanej podmiany rozszerzenia w oknie dialogowym "Save HTML Document". Aby wykorzystać tę lukę, w systemowym Exploratorze musi być włączona opcja "Ukryj rozszerzenia znanych typów plików" - Narzędzia | Opcje Folderów | Widok (funkcja ta jest standardowo włączona w systemie).

Jak wyłączyć wykonywanie aktywnych skryptów w IE?

W IE należy przejść do menu Narzędzia -> Opcje internetowe -> Zabezpieczenia -> Poziom niestandardowy - w polach Wykonywanie aktywnych skryptów i Wykonywania skryptów apletów języka Java należy zaznaczyć pozycje Wyłącz.

Kombinacja obu dziur może być użyta do zmylenia nieświadomego użytkownika, przeglądającego stronę internetową i nieautoryzowanego pobrania przez niego pliku z niebezpiecznych 'ładunkiem'. Jak twierdzą specjaliści z firmy Secunia, aby zabezpieczyć się przed wykorzystaniem obu dziur, należy wyłączyć wykonywanie aktywnych skryptów oraz wspomnianą wcześniej opcję "Ukryj rozszerzenia znanych typów plików".

Czarę goryczy przepełnia ostatni przypadek opisany przez Keigo Yamazaki, dotyczący błędnego sposobu walidacji, podczas akceptowania plików 'cokiees' (ciasteczek). Na całe szczęście, problem nie dotyczy posiadaczy systemów Windows XP z dodatkiem Service Pack 2. Podatne na wykorzystanie są komputery z Windows XP z dodatkiem SP1 i przeglądarką Internet Explorer 6.0 SP1. Zaleca się zatem aktualizację systemu o Service Pack 2 oraz (w miarę możliwości) wyłączenie obsługi ciasteczek.

Może już wystarczy?

W obliczu blisko 20 dziur wykrytych w Internet Explorerze w przeciągu ostatnich 2 miesięcy, pojawia się pytanie, czy zamiast kolejnych łat nie przyszła pora na zupełnie nową wersję przeglądarki. Coraz poważniej rozważają to również sami przedstawiciele Microsoftu. Wbrew wcześniejszym zapowiedziom, być może stanie się to rzeczywistością jeszcze przed premierą systemu Longhorn (szerzej piszemy o tym w artykule: "Internet Explorer - wkrótce nowa wersja?"). Nie wiadomo na razie, czy uaktualnienie polegało będzie na udostępnieniu zupełnie nowej wersji Internet Explorera, czy może na przygotowaniu specjalnego pakietu dodatków do IE.

Nie da się ukryć, iż ruch ten mógłby nieco poprawić wizerunek produktu, którego pozycja na rynku, nie zagrożona do tej pory, jest w ostatnim czasie podkopywana przez konkurencyjne rozwiązania - Firefoksa czy też Operę (o najnowszej wersji przeglądarki Firefox 1.0 piszemy więcej w artykule "Firefox 1.0 - pogromca IE?"). Ostatniego słowa nie powiedział także Netscape - AOL powróciło do prac developerskich i być może już niedługo będziemy świadkami odrodzenia się tej przeglądarki (piszemy o tym więcej w artykule: "AOL: Netscape nam jeszcze pokaże". Netscape będzie próbował wykorzystać sukces przeglądarek Mozilla Foundation. Jak pokazują wyniki naszego pojedynku, większość użytkowników nad Operę przedkłada jednak Firefoksa.

Pakiet dodatków czy nowa wersja?

Czy wprowadzenie dodatków do starej przeglądarki zamiast zupełnie nowej wersji może być sposobem na jej właściwie zabezpieczenie? "Jak pokazał przykład dodatku Service Pack 2, uaktualnienie oprogramowania może w praktyce oznaczać wymienienie wielu bibliotek i dodanie lub wymiana sporej części funkcjonalności" - twierdzi Przemysław Jaroszewski z CERT Polska.

Pozostaje pytanie: Co przede wszystkim należy zmienić w IE, by stała się ona bezpieczniejszą przeglądarką?

Jak tłumaczy dalej Przemysław Jaroszewski: "Podstawowy zarzut w stosunku do Internet Explorera to jego silne zintegrowanie z systemem. Jest to w istocie nie tyle samodzielna aplikacja, co jeden z kluczowych elementów systemu operacyjnego, przez co wykorzystanie błędu w przeglądarce do przejęcia całkowitej kontroli nad maszyną jest dużo łatwiejsze niż w przypadku innych programów. Dlatego też tak wiele błędów uznawanych za krytyczne było wykrywane właśnie w IE. Drugi poważny problem, to standard ActiveX, pozwalający na osadzanie w stronie WWW treści obsługiwanych przez programy wykonywalne (tzw. kontrolki ActiveX) pobierane z zewnątrz. Niestety, łatwość wykorzystania ActiveX do wykonania złośliwego kodu, w połączeniu z wieloma wykrytymi błędami w obsłudze tego standardu przez IE sprawia, że jest on bardziej kłopotliwy niż pożyteczny. Ponadto w praktyce jest to standard natywny dla tej przeglądarki.

Jest to zresztą kolejna zła cecha Explorera - autorzy w czasie najdynamiczniejszego rozwoju tej przeglądarki postanowili wprowadzić szereg własnych mechanizmów i rozszerzeń uznanych standardów. Tymczasem do tej pory nie zaimplementowano poprawnej obsługi wielu tych, które zostały zatwierdzone powszechnie. Jest to może mniej dotkliwe ze względów bezpieczeństwa, ale stanowi poważny kłopot dla twórców serwisów WWW i w konsekwencji jest powodem istnienia swoistej monokultury wśród użytkowników przeglądarek" - mówi przedstawiciel CERT Polska.

Bezpieczeństwo w IDG.pl

Bezpieczeństwo IDG.pl Więcej informacji na temat bezpieczeństwa znajdziecie również w zasobach serwisu IDG.pl - Waszej uwadze polecamy sekcję Bezpieczeństwo IDG.pl oraz SecurityStandard.pl . Zachęcamy również do wzięcia udziału w spotkaniach na forum z ekspertami, zajmującymi się kwestiami związanymi z bezpieczeństwem: m.in. z Grzegorzem Michałkiem, głównym programistą ArcaBit , Łukaszem Szotem, specjalistą z firmy MKS oraz Piotrem Lewaszkiewiczem z firmy Quantus Technology (dystrybuującej produkty firmy AVG w Polsce). Aplikacje, które ułatwią wam odpowiednie zabezpieczenie komputera w Sieci (w tym m.in. programy antywirusowe, antyspyware'owe oraz firewalle) znajdziecie w naszym serwisie Pliki.