Verze Javy v Mac OS X obsahuje vážnou bezpečnostní chybu - MujMAC.cz - Apple, Mac OS X, Apple iPod

22. května 2009, 00.00 | Podle firmy Intego Java dodávaná s Mac OS X už delší dobu trpí vážnou zranitelností, jež může ohrozit uživatele Maců, jako přechodné řešení doporučuje vypnout podporu Javy v prohlížečích.

Otázka bezpečnosti a zabezpečení Mac OS X patří k těm, jež zaručeně vyvolají vášnivé spory, ovšem i tohle téma lze probírat střízlivě.

Mac OS X sice nepochybně patří (z více důvodů) k bezpečnějším operačním systémům, ale pochopitelně ani on není úplně bezchybný, ostatně Apple pro něj pravidelně vydává bezpečnostní aktualizace.

Mnozí přesto tvrdí, že Apple k opravám bezpečnostních chyb přistupuje příliš laxně, což se zdá potvrzovat nejnověji objevená bezpečnostní potíž.

Intego zajišťuje publicitu chybě známé již pět měsíců

Ve středu firma Intego, která prodává bezpečnostní software pro Macy, oznámila, že verze Javy dodávaná v současnosti s Mac OS X obsahuje závažnou chybu, která by mohla dovolit, aby na ohroženém Macu byl na dálku spuštěn lokální kód.

Podle Intega by to mohlo vést k útokům typu „drive by“ („útoku za jízdy“), kdy stačí navštívit záškodnický web a nahrát do prohlížeče škodlivou stránku. Jestliže tato stránka nahraje javový aplet, mohla by to třetí strana zneužít ke spuštění vlastního programového kódu, pro přístup k souborům nebo pro jejich mazání, případně ke spuštění aplikací, k nimž má práva daný uživatel. A kdyby útočník současně využil zranitelnosti dovolující povýšení přístupových práv, mohl by teoreticky spouštět i procesy systémové úrovně a získat tak plný přístup k napadenému Macu.

Intego připomíná, že tato chyba je známá již pět měsíců, přesto ji Apple dosud neopravil (ačkoli Sun potřebnou opravu zveřejnil) a zmíněná chyba zůstala i v Mac OS X 10.5.7 vydaném minulý týden. Bezpečnostní výzkumník Landon Fuller se proto rozhodl zveřejnit ukázku, jak snadno se dá tahle zranitelnost zneužít.

Intego zatím nenašla v oběhu žádný škodlivý aplet využívající tuto chybu, lze však předpokládat, že když se jí teď dostalo značné publicity, mohlo by to podnítit autory škodlivého softwaru, aby se na ni zaměřili.

Intego si ovšem při této příležitosti neopomněla udělat reklamu, zdůrazňuje, že její bezpečnostní software VirusBarrier X5 Fullerovu ukázku blokuje a bude aktualizován tak, aby zastavil i všechny případné další záškodnické javové aplety, co by se mohly objevit.

Nejúčinnější ochranou bude vypnutí podpory Javy

Jako nejúčinnější ochranu však Intego doporučuje, do doby, než Apple vydá příslušnou bezpečnostní aktualizaci, prostě vypnout ve webovém prohlížeči podporu Javy. Zpráva Intega stručně zmiňuje, jak to provést v bezpečnostních předvolbách Safari, podobnou možnost ale pochopitelně nabízejí také ostatní webové prohlížeče pro Mac OS X podporující Javu. Samozřejmě poté nebude možné používat žádné javové aplety, bude tedy záležet na konkrétním uživateli, zda dá přednost bezpečí, anebo možnosti využívat Javu a vystavovat se potenciálnímu riziku.

A přirozeně stačí vypnout podporu Javy, nikoli JavaScriptu, protože přes podobnost názvů jde o zcela rozdílné programovací jazyky (bez JavaScriptu by nefungovala řada důležitých webových služeb).

Celá tato záležitost nepochybně ještě bude předmětem mnoha diskusí, ale v daném případě se zřejmě projevilo hlavně to, že Java stojí poněkud stranou zájmu Applu, implementace Javy pro Mac OS X dost zaostává za jinými platformami (uvidíme, co s tím udělá Snow Leopard) a Sun ji přímo nepodporuje (proto se do ní nedostala jeho oprava dané chyby).

Dá se sice předpokládat, že se většina uživatelů bez Javy (narozdíl od JavaScriptu) obejde, přesto se však na Webu najdou některé zajímavé služby Javu využívající, snad tedy současná publicita Apple přiměje k brzkému vydání potřebné opravy.