Service Pack 2: instalować, czy nie?

Wraz z udostępnieniem przez Microsoft znaczącego pakietu poprawek dla systemu Windows XP, szereg ekspertów zajmujących się bezpieczeństwem rozpoczęło dogłębne analizowanie Service Packa 2. Okazuje się, iż działania te przyniosły już pewne efekty - znaleziono dwie luki, które mogą pozwolić autorom wirusów i robaków na sforsowanie zabezpieczeń zaktualizowanego systemu Windows XP. Powstaje zatem elementarne pytanie: instalować SP2, czy nie? $"Jak każda nowość, Service Pack 2 budzi wiele wątpliwości"$ - uspokaja Jacek Kolonko z serwisu Windows2003.pl.

Pakiet Service Pack 2 dla systemu Windows XP od momentu opublikowania wzbudza niemałe sensacje wśród użytkowników. Wprowadza on bowiem dość znaczące zmiany do systemu i w zasadzie przez wielu ekspertów traktowany jest jako zupełnie nowa wersja Windows (więcej o innowacjach, jakie wprowadza SP2 można przeczytać w artykule: "Service Pack 2 - Windows XP wreszcie bezpieczny?". Zdaniem fachowców, dość poważnie potraktowano w SP2 kwestię bezpieczeństwa systemu i zapobieganie dotychczasowym sposobom infekowania komputerów robakami oraz wirusami.

Niestety, doprowadziło to do sytuacji, w której kilkadziesiąt aplikacji wymagać będzie manualnych zmian w ustawieniach, aby mogły poprawnie działać pod 'nowym' XP (więcej na temat konfliktowego oprogramowania znaleźć można w artykule: "Service Pack 2 dla Windows XP - potrzebny serwis?". Kilka dni temu pojawiły się również zapowiedzi ze strony ekspertów, sugerujące, iż nie przyjdzie nam zbyt długo czekać na wykrycie dziur w Service Packu 2 ("SP2 dla XP - rozpoczyna się szukanie dziur"). Jak widać poniżej, ich zapewnienia nie były dalekie od prawdy.

Service Pack 2 - mamy już 2 dziury

Niemiecki serwis Heise Security, opublikował na swojej stronie biuletyn, w którym opisuje dwie luki wykryte w pakiecie poprawek SP2 i zaleca czytelnikom ostrożność w uruchamianiu programów pobieranych z witryn nieznanego pochodzenia. Obie dziury pozwolić mogą autorom wirusów oraz robaków na ominięcie zabezpieczeń zaktualizowanego systemu Windows XP. Co ciekawe, Jürgen Schmidt (szef 'Heise Security'), który zauważył obie luki, nie widzi w nich poważnego zagrożenia i nadal zaleca instalację Service Packa 2.

Pierwszy problem dotyczy oznaczania plików pobieranych przez przeglądarkę Internet Explorer lub załączników do wiadomości pocztowych zapisywanych w programie Outlook Express, przy pomocy opcji o nazwie "ZoneID". Zapisywana jest ona w postaci tekstowej na dysku i zawiera informacje o źródle pochodzenia danego pliku. Strefy bezpieczeństwa (Security Zones) w Internet Explorerze umożliwiają przypisanie różnych poziomów zabezpieczeń plikom pochodzącym z różnych źródeł (przykładowo Internet, czy zasoby lokalnej sieci). Plik pobierany z Internetu jest zazwyczaj traktowany bardziej 'podejrzliwe', co w przypadku próby jego uruchomienia skutkuje wyświetleniem komunikatu ostrzegawczego (za to odpowiedzialna jest opcja "ZoneID"). Okazuje się jednak, iż nie zawsze takie ostrzeżenie może się pojawić. Gdy użytkownik zdecyduje się na uruchomienie programu z linii komend, komunikat nie pojawia się.

Druga wykryta luka dotyczy aktualizacji danych w plikach "ZoneID" i została określona przez Schmidta, jako 'błąd programistyczny'. Gdy zdecydujemy się na zmianę nazwy pliku, informacja ta nie zostaje zaktualizowana w "ZoneID". Dla potencjalnego napastnika to kolejna okazja do uśpienia czujności użytkownika. Ten sam plik o zmienionej nazwie nie będzie już powodował wyświetlania się komunikatu z ostrzeżeniem. Przedstawiciele Microsoftu wiedzą już o wykrytych w SP2 nieprawidłowościach. Microsoft Security Response Center, które odpowiedziało na opisane w 'Heise Security' błędy, oceniło stopień ich zagrożenia na dość znikomy.

SP2 zły, SP2 dobry

W tym miejscu pojawia się oczywiście elementarne pytanie: instalować, czy nie instalować? Wyniki sondy przeprowadzonej na łamach naszego serwisu wskazują na to, iż większość czytelników zdecyduje się na aktualizację swoich systemów o dodatek SP2, jak tylko ukaże się jego polska wersja. Jacek Kolonko z serwisu Windows2003.pl podkreśla: "Jak każda nowość, Service Pack 2 budzi wiele wątpliwości. Tak bywa w momencie premiery nowej wersji systemu operacyjnego i tak samo dzieje się w przypadku wydania dodatku Service Pack 2, wprowadzającego dość znaczące zmiany do systemu. Można przeczytać w prasie komputerowej i serwisach internetowych wiele opinii na temat problemów z kompatybilnością z istniejącym oprogramowaniem, jednak trudno mi zgodzić się, że są one na tyle częste, by przeszkadzały dużej liczbie użytkowników. Liczę, iż producenci problematycznego oprogramowania szybko uporają się z rozwiązaniem przypadków niekompatybilności i sami zachęcą do instalacji dodatku. Zazwyczaj to właśnie nieodpowiednio napisane aplikacje, niezgodne z zaleceniami dotyczącymi programowania w systemie Windows sprawiają trudności po instalacji pakietu aktualizacji, dlatego ich producenci powinni starać się wyeliminować wady, o ile nie uczynili tego wcześniej. Problemy bezpieczeństwa systemów komputerowych trafiają coraz szerzej do świadomości użytkowników, którzy w obliczu niemożliwości używania produktu wybiorą rozwiązania konkurencyjne, które praktycznie w każdej kategorii oprogramowania istnieją".

Jak mówi Przemysław Jaroszewski z CERT Polska: "Wszelkie opinie dotyczące SP2 budowane są na podstawie opinii osób, które zainstalowały jedną z wersji Release Candidate. Osobiście zetknąłem się z większą liczbą opinii pozytywnych, niż negatywnych. Mimo to, zazwyczaj te negatywne są bardziej nagłaśniane i szerzej komentowane. Prawdę mówiąc, nie wiemy, jak będzie wyglądała ostateczna wersja uaktualnienia. Dlatego trudno jest wygłaszać zdecydowane sądy, zalecające bądź odradzające jego instalację. Prawdą jest, że chyba nigdy wcześniej uaktualnienie systemu Windows nie niosło ze sobą tylu zmian w domyślnej konfiguracji a także zmian związanych np. z obsługą pamięci w kluczowych modułach systemu. Stąd na pewno w wielu przypadkach wskazane będzie dokładne skonfigurowanie i przetestowanie systemu poza środowiskiem produkcyjnym. W przypadku poważnych systemów produkcyjnych powinno to zresztą być normalną praktyką".

Instalować, czy nie instalować?

"Oczywiście, wprowadzanie uaktualnień do systemu powinno odbywać się w sposób przemyślany" - twierdzi Jacek Kolonko. "Tak jak ma to miejsce w przypadku aktualizacji zabezpieczeń wydawanych przez Microsoft w cyklu miesięcznym, również Service Pack 2 powinien zostać przetestowany gruntownie w środowisku testowym, a dopiero potem instalowany na stacjach roboczych. Służy temu wersja dla profesjonalistów branży IT, wydana specjalnie wcześniej - przed wprowadzeniem SP2 do mechanizmów automatycznej aktualizacji systemów klienckich. W razie problemów z wykorzystywanymi w firmie aplikacjami, należy zgłaszać je do ich producentów, celem wprowadzeniu przez nich odpowiednich poprawek w ramach wsparcia technicznego gwarantowanego zazwyczaj bez dodatkowych kosztów w umowie licencyjnej. Ostatecznie jednak nie widzę żadnej grupy użytkowników, który powinni kategorycznie zaniechać instalacji dodatku. W szczególności domowi użytkownicy systemu Windows XP mogą spokojnie pozwolić sobie na instalację dodatku Service Pack 2, gdyż posiadanie mniej bezpiecznego systemu jest dużo gorsze od potencjalnej (i wcale nie tak prawdopodobnej) możliwości napotkania problemu z wykorzystywanym oprogramowaniem i stanięciem przed koniecznością cofnięcia instalacji - stracą wtedy wprawdzie nieco czasu, jednak odzyskiwanie danych z zainfekowanego w skutek braku aktualizacji systemu może być zdecydowanie kosztowniejsze".


Zobacz również