Mlží Opera Software okolo bezpečnostních chyb?

Asa Dotzler je jedním z nejznámějších lidí okolo Mozilly. Aktivním členem Mozilla community je od roku 1998. Je zakladatelem QA (Quality Assurance) a testovacího programu. Zároveň je spoluzakladatelem projektu Spread Firefox a hraje klíčovou roli při vydávání produktů jako Firefox a Thunderbird.

Dotzler kritizuje Operu

Dotzler před několika dny na svém blogu obvinil Operu z toho, že záměrně před uživateli zamlčuje informace o důležitých bezpečnostních chybách. „Opera Software skrývá bezpečnostní chyby před uživateli a tiskem,” napsal do svého blogu Asa Dotzler.

Konkrétně se jedná o dvě chyby, které byly objeveny v Opeře 9.02. Ve zprávičce, kterou jsme o oznámení chyb přinesli, se píše:

V prvním případě může útočník pomocí upraveného JPEG obrázku způsobit buffer overflow. Přestože původně firma tvrdila, že touto dírou je možno jen shodit prohlížeč, později se ukázalo, že je možno skrze chybu propašovat i cizí kód.

Druhý problém se týká JavaScript podpory formátu SVG. Útočník může použít speciální volání funkce createSVGTran­sformFromMatrix a spustit vlastní kód s právy uživatele Opery. Přestože byly chyby výrobcem označeny jako mírně nebezpečné, mohou být zneužity k instalaci škodlivého kódu.

Obě chyby byly opraveny v Opeře 9.10, ale v seznamu změn o nich původně nebyla ani zmínka. Dotzlerovi kromě zpoždění vadí také to, jak firma celé oznámení zlehčuje.

„Když oznámili bezpečnostní chyby téměř tři týdny po vydání nové verze, navíc dramaticky bagatelizovali závažnost problému a skrývali před uživateli pravá rizika,” stěžuje si veřejně Dotzler. Chyby byly totiž označeny jako málo závažné, ačkoliv mohou ohrozit bezpečnost celého systému.

Podle něj není důležitý rozsah informací o každé chybě, ale je potřeba včas varovat uživatele před hrozícím nebezpečím. „Nežádám, aby zveřejňovali detaily každé opravy nebo informace o tom, jak napadnout neopravenou verzi prohlížeče,” rozvádí svůj názor Dotzler. „Ale neinformovat uživatele o tom, že aktualizace je kritickou bezpečnostní aktualizací a že neopravené verze jsou zranitelné vzdálenými útoky, je prostě špatné,” dodává Asa Dotzler.

Asa dále kritizuje práci Opery. Firma by podle něj neměla jen opravovat chyby, ale zajistit také informování veřejnosti tak, aby byl i ten poslední uživatel varován a nainstaloval si poslední verzi prohlížeče. V opačném případě uvrhne firma uživatelé v ohrožení.

Podle Dotzlera je v tomto směru Opera horší než Microsoft. „I Microsoft zveřejňuje informace o bezpečnostních chybách z předešlých verzí a detaily o opravách v nové verzi už během vydání,” přirovnává Asa Dotzler. „Microsoft má také sofistikovaný automatický update systém a osvojil si postupy týkající se zveřejňování informací. Opera Software by neměla vydávat další major verzi, dokud nenasadí podobný program,” navrhuje Dotzler.

Asa Dotzler je očividně celou záležitostí velmi rozhořčen a na konec svého blogu připojil ještě několik přísných poznámek na adresu Opery. „To je nepřijatelný postup pro jakoukoliv společnost, které vytváří internetový komunikační software. A pokud se jedná o výrobce prohlížeče, nelze to nazvat jinak než lajdáctví,” znělo jeho shrnutí.

Opera se brání

Opera samozřejmě s obviněním nesouhlasí. Mluvčí společnosti Thomas Ford tvrdí, že vše proběhlo zcela standardně. „Shodně s našimi zaběhnutými postupy jsme opravili všechny zranitelnosti, bez ohledu na jejich závažnost,” říká. „Taková je naše filosofie od chvíle, kdy jsme v roce 1995 vytvořili první prohlížeč, a tak to bude i nadále,” dodává mluvčí Opera Software.

IDefense na chyby upozornil už 16. prosince. Podle Forda je naprosto běžným IT standardem, že se na odhalení informací IDefense dohodl s Operou. Protože se ale blížily svátky, bylo dohodnuto, že ke zveřejnění dojde až 5. ledna. Nová Opera, která chyby opravila, ale vyšla už 18. prosince.

„Uznáváme, že jsme měli jasněji říct, že 9.10 obsahuje bezpečnostní záplaty,” uznal Thomas Ford. „Opravili jsme to na několika místech, včetně changelogů,” dodal.

Podle Forda dojde k zásadním změnám, které zabrání, aby se něco podobného opakovalo. „Připouštíme, že naše interní oznamovací a komunikační procesy by mohly být vylepšeny. Učiníme potřebné kroky, abychom se ujistili, že se to už nestane,” potvrdil.

Mluvčí Ford se ale ohradil proti tvrzení Asy Dotzlera o tom, že Opera záměrně snižuje závažnost objevených děr. „Jeho poznámka, – poznámka zaměstnance Mozilla Corporation – byla neuvěřitelně unáhlená a zklamala nás,” vyjádřil se k Dotzlerově názoru Ford.

„Všichni dodavatelé, včetně Mozilla Corporation, upravují závažnost bezpečnostní chyby, pokud nesouhlasí s odhadem jejího nálezce,” vysvětluje postup Opery Thomas Ford.

Co na to odborník?

Na názor jsme se zeptali Pavla Cvrčka, který je jedním z předních českých odborníků na problematiku produktů Mozilla. Podle něj je informovanost uživatelů velmi důležitá pro jejich bezpečnost. „Uživatel by měl být vždy informován o tom, že vydání opravuje nějakou bezpečnostní chybu a z toho důvodu by měl aktualizovat. Přirovnal bych to k Společenské smlouvě tvůrců Debianu s uživateli, kde se píše ‚Nebudeme skrývat problémy‘,” říká Pavel Cvrček.

Podle Cvrčka se Opera záměrně snažila vyhnout zveřejnění informací o chybách, které zhoršují pozitivní vyznění zprávy o nové verzi prohlížeče.

„Opera Software v poznámkách k vydání zamlčela informace o dvou bezpečnostních chybách, protože se jim to nehodilo k vydání Opery 9.10, u kterého se mělo hlavně mluvit o nové ochraně proti podvodným stránkám. Tyto informace zveřejnila až dodatečně, kdy se o tom začalo hovořit. To je podle mě špatně,” dodává Pavel Cvrček.