Skrytá hrozba od zásuvných modulů

redakce 12.11.2010

Automaticky se vám záplatují Windows, prohlížeč, možná Java nebo Flash, a tak si myslíte, že o vše potřebné je postaráno. Není.

Špatná vizitka!

Myslíte si, že automatické aktualizace Windows a webového prohlížeče (a třeba Javy) vás chrání před útoky proti známým slabinám? Měly by, ale není tomu tak. I v prohlížeči, který se sám pravidelně aktualizuje, zůstává spousta děr — ne přímo v něm samém, nýbrž v takzvaných zásuvných modulech neboli pluginech.

O jejich bezpečnost se sám od sebe nestará ani Firefox, ani Google Chrome, jakkoli tyto prohlížeče neustále občerstvují sebe (ve Firefoxu to lze vypnout). Firefox sice každou chvíli aktualizuje i nějaká rozšíření, ta však nezaměňujte s pluginy.

Pluginy jsou systémové soubory, obvykle instalované jinou aplikací: prohlížečem PDF, přehrávačem videa, kancelářskou soupravou a tak podobně. Prohlížeč je nastaven tak, aby vyvolal plugin pro ten typ souboru nebo obsahu, se kterým si neporadí sám.

Pluginy v prohlížeči nastavené se vypíší, když prohlížeči dáte zobrazit adresu „about:plugins“ (vepište do adresního řádku). Google Chrome na důležité aktualizace upozorní alespoň v tomto výpise, a kromě toho tu lze pluginy deaktivovat, zato výpis ve Firefoxu je zcela pasivní — vzhledem i funkcí (vlastně jejím nedostatkem) je přežitkem z prohlížecího dávnověku.

Pluginy od třetích stran se zpravidla instalují i aktualizují s příslušnou aplikací, a nikoli s aktualizací prohlížeče. Ohroženi tak jste, máte‑li nainstalován plugin, o jehož aktualizace se dále nestaráte. Lze odhadnout, že obvyklý uživatel bude mít podobných „zapomenutých“ pluginů v počítači několik. Pak stačí zabloudit na škodný web, který využije nějaké známé bezpečností díry v některém pluginu…

Ikonka upozorňuje na neaktuální plugin.

V Google Chrome můžete pravidelně procházet jejich výpis — hledat v něm upozornění na potřebu aktualizace. Anebo navštivte web projektu Secbrowsing. Ten vás na děravé pluginy, které potřebují záplatu, upozorní (anglicky); to i pro Firefox (a nejspíše i jiné prohlížeče). Do Google Chrome si můžete nainstalovat rozšíření (extension), které bude dostupnost záplat pro pluginy pravidelně zjišťovat samo, avšak pouze upozorní ikonou vpravo v liště.

Máte k článku připomínku? Napište nám