Adobe Flash Player 11.2 a volitelná (ne)bezpečnost

Navzdory obecnému nadšení ze stále neexistujícího HTML 5, které má být onou spásou pro uživatelské rozhraní tohoto století, se bohužel web stále zcela neobejde bez Adobe Flash Playeru. Jak je to ale s jeho bezpečností ?

Obecně platí, že jakýkoli software který nějakým způsobem interpretuje obsah stažený s Internetu (HTML parser, JavaScript engine, video přehrávač atd.) je potenciálně nebezpečný, především díky možných chybám typu buffer overflow. Základní zásadou by tedy měla být pravidelná, včasná a bezpečná aktualizace, která tyto chyby (donekonečna) záplatuje a samozřejmě nespouštět tyto aplikace s právy administrátora. Ponechme teď stranou, že tento druh chyb vzniká především z nepozornosti a nedůslednosti programátorů v nativním kódu. To je také důvod, proč se objevují snahy převést i klientské aplikace do řízeného (managed) kódu.

Statistika ze serveru Secunia

Podíváme-li se na statistiky bezpečnostních chyb Adobe Flash Playeru na serveru Secunia, zjistíme že ve verzi 10 bylo celkem 194 bezpečnostních chyb, ve verzi 11 je jich zatím "jen" 24. Rozložení závažnosti je vidět na tomto grafu. Je až neuvěřitelné, že v tak relativně jednoduchém software je možné nadělat takové množství závažných bezpečnostních chyb.

Automatické aktualizace

Veškerý software obsahuje chyby. Nicméně různí výrobci mají různou strategii jak upozornit na novou aktualizaci a jak ji nainstalovat. Microsoft používá svůj Windows Update, kde si lze nastavit jakým způsobem se bude na aktualizace upozorňovat a jak se budou instalovat. Někteří jiní jdou podstatně vlezlejší cestou, která prakticky znemožňuje kontrolu nad aktualizacemi a vzniká tak paradoxně situace, kdy vlastní způsob aktualizace muže být potenciálně nebezpečnější, než jim opravované chyby. Odstrašujícím příkladem budiž Google a jeho "slavný" Google Updater který si ovšem oni sami ještě chválí.

Instalace Adobe Flash Player 11.2

Nová verze Adobe Flash Playeru 11.2 se při instalaci ptá, zda-li chcete používat nové automatické aktualizace nebo si toto budete coby pokročilý uživatel hlídat sami.

Pokud zvolíme Never check for updates, což přirozeně není doporučeno, očekáváme že se nám do počítače nenainstaluje nic, co by nekontrolovatelně cosi dělalo. Typicky jde o nějaký process spuštěný ještě ke všemu s vysokými právy.

Po instalaci to ještě zkontrolujeme v Control Panelu, a opravdu:

Protože se ale vyplatí být nedůvěřivý, podívejme se co se nám opravdu nainstalovalo.

Nejdříve si prohlédneme Windows Services a co nevidíme ...

Nainstalovala se Windows Service Adobe Flash Player Update Service běžící pod účtem Local System. Jediné plus je, že není automaticky spouštěna.

To ovšem není vše, co takový Task Scheduler ?

Zde vidíme další způsob, kterým se nepozorovaně spouští automatická aktualizace, opět pod systémovým účtem:

Závěr

Je samozřejmě na každém, jaký způsob automatických aktualizací si zvolí. Pro běžného uživatele, kterému je obvykle jedno co se mu v počítači děje a chce "ať to hlavně nějak funguje" je výchozí doporučené nastavení v pořádku. Zvláště když je většinou stejně přihlášem pod účtem s právy administrátora (nebo deaktivovaným UAC), což již z principu jakoukoli bezpečnost vylučuje.

Pokud ovšem na tento až příliš automatický postup za cenu malé kontroly nad ním nechceme přistoupit, je třeba po každé instalaci znovu kontrolovat, jakým důmyslným způsobem se nám výrobce software snaží "usnadnit" život. Když k tomu přičteme velké množství chyb ve vlastním Flash Playeru, jak na tom asi bude tato aktualizační aplikace ? Raději nevědet Smile

Aktualizace pro verzi 11.3

V nové verzi 11.3 je tento bezpečnostní problém již opraven. Pokud během instalace nebo později v Control Panelu zvolíte Never check for updates, nebude nainstalována aktualizační Windows Service ani task v Task Scheduleru.

Komentáře (1) -

  • To jsi se nám ale rozepsal, informace shledávám velmi užitečné ... Smile
Komentáře jsou uzavřeny