НовостиОпубликовано в журнале "Компьютерра" №29-30 от 24 августа 2004 года. Страница 4 из 23. Вернуться на первую страницу. Неуязвимых у нас нетВ начале августа американская правительственная группа по компьютерной безопасности (US-CERT) объявила об обнаружении шести серьезных уязвимостей графического формата PNG, одна из которых признана критичной. Точнее, уязвим не сам формат, а самая известная библиотека для работы с ним — «опенсорсная» libpng. Она используется практически всеми почтовыми клиентами и браузерами (в том числе IE, Opera и Mozilla), так что паника поднялась нешуточная. Это происшествие больно ударило по распространенному спекулятивному тезису, что якобы open-source — лучший путь к безглючному софту. Официальный сайт libpng нынче читается весьма забавно: в первом абзаце «…надежная библиотека, активно тестируемая в течение девяти лет…», а во втором — «…немедленно обновите библиотеку, обнаружена критическая уязвимость…». Герой-первооткрыватель — «одиночка с мотором» Крис Эванс (Chris Evans) — занимается для души как раз поиском дыр в свободном софте путем построчной проверки (в списке его «жертв» — десятки известных библиотек и даже ядро Linux и Quake). В libpng, как было сказано, обнаружено шесть дырок, однако пять из них относительно безобидны — они могут привести лишь к падению программы, использующей библиотеку. А вот шестая ведет к «великому и ужасному» buffer overflow, что, как известно, позволяет злонамеренным png-картинкам выполнить произвольный код на компьютере пользователя. Об открытии было объявлено 4 августа (интересно, что на сайте libpng вывешена благодарность Крису Эвансу, «который дал нам время написать патч»). В течение двух дней дыру заткнули Mozilla, Apple и RedHat (браузер Konqueror), Yahoo! чуть погодя запатчила свой Yahoo Messenger. 6 августа Оpеrа выпустила версию 7.54 — но с той же уязвимостью. Microsoft и вовсе молчит, как партизан. Злорадствует, наверное. — В.Ш.
|