Mlží Opera Software okolo bezpečnostních chyb?

Petr Krčmář 16. 1. 2007

Asa Dotzler z Mozilly se zaměřil na bezpečnostní rizika Opery a otevřeně obvinil jejího výrobce ze záměrného zamlčování informací o chybách. Opera samozřejmě s jeho názorem nesouhlasí. Přinášíme vám názory obou stran. O které chyby se konkrétně jedná? Mohli být uživatelé ohroženi? Jak se k obvinění staví Opera?

Asa Dotzler je jedním z nejznámějších lidí okolo Mozilly. Aktivním členem Mozilla community je od roku 1998. Je zakladatelem QA (Quality Assurance) a testovacího programu. Zároveň je spoluzakladatelem projektu Spread Firefox a hraje klíčovou roli při vydávání produktů jako Firefox a Thunderbird.

Dotzler kritizuje Operu

Dotzler před několika dny na svém blogu obvinil Operu z toho, že záměrně před uživateli zamlčuje informace o důležitých bezpečnostních chybách. „Opera Software skrývá bezpečnostní chyby před uživateli a tiskem,” napsal do svého blogu Asa Dotzler.

Konkrétně se jedná o dvě chyby, které byly objeveny v Opeře 9.02. Ve zprávičce, kterou jsme o oznámení chyb přinesli, se píše:

V prvním případě může útočník pomocí upraveného JPEG obrázku způsobit buffer overflow. Přestože původně firma tvrdila, že touto dírou je možno jen shodit prohlížeč, později se ukázalo, že je možno skrze chybu propašovat i cizí kód.

Druhý problém se týká JavaScript podpory formátu SVG. Útočník může použít speciální volání funkce createSVGTran­sformFromMatrix a spustit vlastní kód s právy uživatele Opery. Přestože byly chyby výrobcem označeny jako mírně nebezpečné, mohou být zneužity k instalaci škodlivého kódu.

Obě chyby byly opraveny v Opeře 9.10, ale v seznamu změn o nich původně nebyla ani zmínka. Dotzlerovi kromě zpoždění vadí také to, jak firma celé oznámení zlehčuje.

„Když oznámili bezpečnostní chyby téměř tři týdny po vydání nové verze, navíc dramaticky bagatelizovali závažnost problému a skrývali před uživateli pravá rizika,” stěžuje si veřejně Dotzler. Chyby byly totiž označeny jako málo závažné, ačkoliv mohou ohrozit bezpečnost celého systému.

Podle něj není důležitý rozsah informací o každé chybě, ale je potřeba včas varovat uživatele před hrozícím nebezpečím. „Nežádám, aby zveřejňovali detaily každé opravy nebo informace o tom, jak napadnout neopravenou verzi prohlížeče,” rozvádí svůj názor Dotzler. „Ale neinformovat uživatele o tom, že aktualizace je kritickou bezpečnostní aktualizací a že neopravené verze jsou zranitelné vzdálenými útoky, je prostě špatné,” dodává Asa Dotzler.

Asa dále kritizuje práci Opery. Firma by podle něj neměla jen opravovat chyby, ale zajistit také informování veřejnosti tak, aby byl i ten poslední uživatel varován a nainstaloval si poslední verzi prohlížeče. V opačném případě uvrhne firma uživatelé v ohrožení.

Podle Dotzlera je v tomto směru Opera horší než Microsoft. „I Microsoft zveřejňuje informace o bezpečnostních chybách z předešlých verzí a detaily o opravách v nové verzi už během vydání,” přirovnává Asa Dotzler. „Microsoft má také sofistikovaný automatický update systém a osvojil si postupy týkající se zveřejňování informací. Opera Software by neměla vydávat další major verzi, dokud nenasadí podobný program,” navrhuje Dotzler.

Asa Dotzler je očividně celou záležitostí velmi rozhořčen a na konec svého blogu připojil ještě několik přísných poznámek na adresu Opery. „To je nepřijatelný postup pro jakoukoliv společnost, které vytváří internetový komunikační software. A pokud se jedná o výrobce prohlížeče, nelze to nazvat jinak než lajdáctví,” znělo jeho shrnutí.

Opera se brání

Opera samozřejmě s obviněním nesouhlasí. Mluvčí společnosti Thomas Ford tvrdí, že vše proběhlo zcela standardně. „Shodně s našimi zaběhnutými postupy jsme opravili všechny zranitelnosti, bez ohledu na jejich závažnost,” říká. „Taková je naše filosofie od chvíle, kdy jsme v roce 1995 vytvořili první prohlížeč, a tak to bude i nadále,” dodává mluvčí Opera Software.

IDefense na chyby upozornil už 16. prosince. Podle Forda je naprosto běžným IT standardem, že se na odhalení informací IDefense dohodl s Operou. Protože se ale blížily svátky, bylo dohodnuto, že ke zveřejnění dojde až 5. ledna. Nová Opera, která chyby opravila, ale vyšla už 18. prosince.

„Uznáváme, že jsme měli jasněji říct, že 9.10 obsahuje bezpečnostní záplaty,” uznal Thomas Ford. „Opravili jsme to na několika místech, včetně changelogů,” dodal.

Podle Forda dojde k zásadním změnám, které zabrání, aby se něco podobného opakovalo. „Připouštíme, že naše interní oznamovací a komunikační procesy by mohly být vylepšeny. Učiníme potřebné kroky, abychom se ujistili, že se to už nestane,” potvrdil.

Mluvčí Ford se ale ohradil proti tvrzení Asy Dotzlera o tom, že Opera záměrně snižuje závažnost objevených děr. „Jeho poznámka, – poznámka zaměstnance Mozilla Corporation – byla neuvěřitelně unáhlená a zklamala nás,” vyjádřil se k Dotzlerově názoru Ford.

„Všichni dodavatelé, včetně Mozilla Corporation, upravují závažnost bezpečnostní chyby, pokud nesouhlasí s odhadem jejího nálezce,” vysvětluje postup Opery Thomas Ford.

Co na to odborník?

Na názor jsme se zeptali Pavla Cvrčka, který je jedním z předních českých odborníků na problematiku produktů Mozilla. Podle něj je informovanost uživatelů velmi důležitá pro jejich bezpečnost. „Uživatel by měl být vždy informován o tom, že vydání opravuje nějakou bezpečnostní chybu a z toho důvodu by měl aktualizovat. Přirovnal bych to k Společenské smlouvě tvůrců Debianu s uživateli, kde se píše ‚Nebudeme skrývat problémy‘,” říká Pavel Cvrček.

Podle Cvrčka se Opera záměrně snažila vyhnout zveřejnění informací o chybách, které zhoršují pozitivní vyznění zprávy o nové verzi prohlížeče.

„Opera Software v poznámkách k vydání zamlčela informace o dvou bezpečnostních chybách, protože se jim to nehodilo k vydání Opery 9.10, u kterého se mělo hlavně mluvit o nové ochraně proti podvodným stránkám. Tyto informace zveřejnila až dodatečně, kdy se o tom začalo hovořit. To je podle mě špatně,” dodává Pavel Cvrček.

Anketa

Myslíte si, že Opera udělala chybu?

Našli jste v článku chybu?
Podnikatel.cz: Sami na firemní web: Jak nastavit design?

Sami na firemní web: Jak nastavit design?

DigiZone.cz: Slovak Telekom: kanály pro nový balíček

Slovak Telekom: kanály pro nový balíček

Vitalia.cz: Ženy, které milují příliš, jsou neštěstí

Ženy, které milují příliš, jsou neštěstí

120na80.cz: 3 možnosti, kde bude jizva

3 možnosti, kde bude jizva

Vitalia.cz: Syfilis: To není „nemoc z lásky“

Syfilis: To není „nemoc z lásky“

Vitalia.cz: „Nepřeskakujte“ praktické lékaře

„Nepřeskakujte“ praktické lékaře

Lupa.cz: Samořídicí taxíky jsou tu. Začíná s nimi Uber

Samořídicí taxíky jsou tu. Začíná s nimi Uber

Vitalia.cz: I takové burgery nabídla Veggie náplavka

I takové burgery nabídla Veggie náplavka

Vitalia.cz: Vakcína Cervarix je oficiálně i pro chlapce

Vakcína Cervarix je oficiálně i pro chlapce

Lupa.cz: Milý deníčku, teď mi tě bude psát aplikace

Milý deníčku, teď mi tě bude psát aplikace

Lupa.cz: Kdy se Estonec přihlásí k české datové schránce?

Kdy se Estonec přihlásí k české datové schránce?

Podnikatel.cz: Kdy s příjmy není třeba platit zdravotko?

Kdy s příjmy není třeba platit zdravotko?

Podnikatel.cz: Česká pošta vycouvala ze služby ČP Cloud

Česká pošta vycouvala ze služby ČP Cloud

Lupa.cz: Pirate Bay se drží 13 let. A bojuje s Hollywoodem

Pirate Bay se drží 13 let. A bojuje s Hollywoodem

Podnikatel.cz: SMS oznamují nedoplatek na dani, nic neplaťte

SMS oznamují nedoplatek na dani, nic neplaťte

Vitalia.cz: Jak pít při sportu

Jak pít při sportu

Lupa.cz: Měřičům síly hesla se nedá věřit. Víte proč?

Měřičům síly hesla se nedá věřit. Víte proč?

DigiZone.cz: Film+ a nevhodné snímky přes den

Film+ a nevhodné snímky přes den

Vitalia.cz: Nadměrná mateřská péče škodí zdraví

Nadměrná mateřská péče škodí zdraví

Lupa.cz: První robotické taxíky už vozí pasažéry

První robotické taxíky už vozí pasažéry