Dajbych.net


Google poukázal na to, že na Windows je Microsoft Edge bezpečnější než Chrome

, 3 minuty čtení

Mi­crosoft dnes vy­dal bezpečnos­tní ak­tu­al­izaci číslo 3200970. Zá­platuje zran­itel­nost, kterou Google od­halil a zveře­jnil ještě před tím, než byla opravena. Tento mar­ketin­gový tah se však Googlu vym­stil, pro­tože se ukázalo, že uži­vatelé Mi­crosoft Edge na Win­dows 10.0.14393 jsou na tom lépe než uži­vatelé Google Chrome.

Bý­valo do­brým zvykem, že pokud ně­jaký vývo­jář od­halil bezpečnos­tní chybu v op­er­ačním sys­tému, nahlásil zran­itel­nost (třeba i konkurenční) ob­chodní společnosti a s je­jím zveře­jněním vyčkal, než bude opravena. Zveře­jňování zran­itel­ností před je­jich veře­jným od­halením sice může být krátkodobě pro jednu společnost přínosné, ale konkurenční prostředí vy­bízí k odezvě. Nakonec to poškozuje celé od­větví sdělo­vací tech­niky.

Pokud společnost zran­itel­nost neo­praví, její zveře­jnění spolu s konkurenčním prostředím nakonec přiměje viníka k nápravě. Ob­vykle se však zran­itel­nost zveře­jňuje 2–3 měsíce po je­jím nahlášení.

Google je společnost kreativní a před týd­nem se rozhodla pos­tupo­vat ji­nak. Rozhodla se nevyčkat druhého úterka v měsíci, kdy Mi­crosoft ak­tu­al­izace pravidelně vy­dává, a zran­itel­nost zveře­jnit už po 10 dnech. Mo­ti­vací byl výdělek. Zran­itel­nost (CVE-2016-7855) se týkala (přek­va­pivě) Flashe od Adobe. Google vyčkal, než Adobe vydá novou opravenou verzi Flashe. Jak­mile se tak stalo, začal jí šířit do proh­lížeče Chrome o něco dříve než Mi­crosoft do Edge. Hned na to zran­itel­nost zveře­jnil s tím, že uži­vatelé Chromu už mají ak­tu­al­izaci přichys­tanou, zatímco uži­vatelé ostat­ních proh­lížečů na Win­dows mají smůlu.

Reakce na sebe nenechala dlouho čekat a už den na to vi­ceprezi­dent Mi­crosoftu Terry My­er­son nap­sal, že uži­vatelů Mi­crosoft Edge na Win­dows 10 s An­niver­sary Up­date se zran­itel­nost netýká. Plat to i pro uži­vatele ostat­ních proh­lížečů, pokud použí­vají Win­dows De­fender Ad­vanced Threat Pro­tec­tion (což je služba, která však není součástí OEM verzí Win­dows 10).

Dom­nívám se, že pro běžné proh­lížení we­bových stánek stačí, když je v proh­lížeči Adobe Flash Player vyp­nutý, pro­tože je no­toricky známý pro své bezpečnos­tní prob­lémy. Na něk­terých zas­taralých we­bech (jakým je napřík­lad web České tele­vize – po­zor, tento od­kaz vás přes­měruje ze zašifrovaného spo­jení na otevřené – správně se to dělá opačně) může pře­s­tat fun­go­vat streamování videa. Jde o to na­jít správ­nou rovnováhu mezi bezpečností a použitel­ností.

Zá­važné chyby se v op­er­ačních sys­témech nalézají poměrně často. Není to tak dávno, co byla nalezena bezpečnos­tní chyba (CVE-2016-5195) ve všech op­er­ačních sys­témech s já­drem Linux, která od roku 2007 umožňo­vala které­muko­liv uživateli povýšit svá práva na roota a převzít tak kon­trolu nad sys­témem.