Nagy nyári szoftveres bogárfesztivál

A hiba a szoftverben van

Zsadányi Pál, 2000. augusztus 18. 18:36
Az uborkaszezon a szoftveripar számára nem éppen nyugodt álmokat hozott. Egy sereg hibát jeleztek az erre szakosodott "bogárlesők" (a hangyalesők mintájára).
Most lehet azt mondani, hogy hol is várható a bogárinvázió zöme máshol, mint a Microsoftnál. Ön nyert! Mivel a piacon tömegesen a MS termékeinek a használata a legjellemzőbb, világos, hogy az észlelt hibák száma is ezzel arányos lehet, akárhogy igyekeztek redmondi programozó kollégáink. Azért más cégek programozói is derekasan kivették a részüket a (nem Pepsi-Szigeti) buliból, mint mindjárt kiderül. Nézzük -- ABC rendben -- a tényeket, mivel kell nekünk szembe néznünk?

Adobe Acrobat

Mi lehet hibás egy sima szövegolvasóban, kérdezheti bárki. Hát lehet! Igaz, az olvasó programok körében ez elég kuriózum. A helyzethez méltó nevet is kapott: "buffer overrun" lyuk. A pufferkezelés során jöhet létre hazárd helyzet. "Segítségével" az ügyes alkalmazó készíthet olyan .PDF állományt, amelyik lerobbanthatja az Acrobat olvasót, vagy kártékony kódot hajtat végre vele. A javítást az Acrobat 4.05 Update 2 (ami az Update 1-et felülírja) tartalmazza. A javítás helye:

AOL-Netscape

Az AOL szárnyai alatt működő Netscape csapatnak is sikerei voltak a nyári bogárfesztiválon. Egy nagyon súlyos hibát jelzett a Wayne Jr. nevű bogárleső művész. A Necckép böngésző megengedi, hogy átlendüljön szerver funkcióba, és akkor a túloldal kérhet tőle szinte akármit, például áttöltheti magának a szerencsétlen alkalmazó állományait. A bogár a Java virtuális gép kódjában ül, méghozzá időtlen idők óta, úgyhogy gyakorlatilag minden ma működő Netscape böngészőt érint, mellesleg, operációs rendszerektől és hardverektől is függetlenül (ahogy az már egy Java-géphez illik). Ez is kapott egy szép jelzőt: "Brown Orifice", az őt felfedező és kielemző csapat neve után (* No-no! Aki ide bekukkant Netscape böngészővel, azonnal kiolvassák minden adatvagyonából!). A Netscape szerint a 4.0-stól a 4.74-es Windows, Mac és UNIX változatokban fordul elő a hiba. Ha a Java funkciót kiiktatjuk, akkor a hiba átmenetileg kivédhető (Edit menü/ Preferences/ Advanced alatt kiirtani a pipát az Enable Java kockából). Amíg a Netscape el nem készíti a szükséges javításokat. Mivel a Netscape 6-os elég új elveken működik, sem az 1-es, sem a 2-es béta (Netscape nyelven: Preview Release) nem tartalmaz ilyen hibát. Érdekességként megemlíthető, hogy a hiba a Primonline-on a minap bemutatott a ZoneAlarm (magán és non-profit célokra ingyenes) tűzfal szoftverrel is kivédhető, mert egyszerűen nem engedélyezzük a szerver üzemmódot a Necckép borzolónak. ZoneAlarm a Primonline-on: ZoneAlarm: tűzfal költségek nélkül

Microsoft

1. Kezdjük mindjárt azzal, hogy a Windows ME-ben már nem lehet egyetlen floppyra bootolható rendszert készíteni. Ez persze nem hiba, a szó szoros értelmében, hanem egy jellemző (angolul pompásabban hangzik: not a bug, but a feature), de amikor nem tudjuk a gyönyörű GUI interfészünket sehogy sem előcsalni a wincsiről, akkor ugyancsak lemegyünk az alfába. Az utolsó lehetőség egyetlen lemezen egy DOS-7-es bútolható lemez készítésére a Windows 98 SE-ben található, ha készítünk vele egy vészhelyzeti lemezt (EBD - Emergency Boot Diskette). Válasszunk jó márkájú floppyt, és formázzuk le előtte akkor is, ha előformázottat vásároltunk. Elkerülendő a kellemetlen meglepetéseket. Ha ugyanis a floppy nem tökéletes, akkor ugyan a Windóz az EBD készítése közben kikerüli a hibás részeket, de cserébe kérhet egy újabb formázott lemezt, mert így már nem fér rá egyetlen lemezre a rendszer. Azután az EBD lemezt egy nap múlva másoljuk át diszkmásolóval egy másik hasonló jó minőségű floppyra, nehogy az egyetlen is megsérüljön, és azután egy bútolhatatlan fixdiszk esetén végképp nem tudunk mihez kezdeni. Hogy miért csak egy nap múlva? Kb. ennyi idő alatt relaxálódik (heveri ki a felírás fáradalmait) a mágnesréteg a lemezen. Ha ennyi idő alatt is már hibák jelentkeznek, akkor dobjuk ki a lemezt és próbálkozzunk egy másikkal. Ez a fölöslegesnek látszó óvatoskodás esetleg két év múlva bizonyulhat nagyon hasznosnak. Komolyan mondom!

2. "scriptlet" adatvédelmi hibák sorozata jött. Mind az IE 4-es, mind az IE 5-ös családot elérte vele a búbánat.

a) A bogár az ActiveX vezérlőbe bújt. Emiatt egy scriptlet nem csak HTML állományokat mutat meg, hanem akármit, például IE rendszerállományokat is a lokális internet zónából. Egy távolból indított kisalkalmazás tehát beleshet a kártyáinkba.

b) Újabb változatban jelent meg a "Frame Domain Verification" lyuk. A hiba eredményeként egy távoli operátor megnyithat egy keretet az otthoni, és egyet a távoli gép környezetében, és a távoliból adatokat kérhet át a saját keretébe.

A hibák bestoppolhatók a következő folttal: ().

3. Office 2000 hibák is jöttek. Majd a javításuk, meg a javításuk javítása.

a) Az "Office HTML Script" hiba folytán az okostojás alkalmazók becsempészhetnek olyan objektumokat a dokumentumokba, amelyek azután illegális tevékenységet eredményeznek, ami lehet kifejezetten rosszindulatú is. És nem csak levélmellékletekben leselkedhetnek ránk ilyen krampuszok, hanem akár egy HTML dokumentum trükkös adatobjektuma is okozhat bajt, ha azt megnyitja egy alkalmazó az Office 2000-el. Mivel azonban az objektum átvétele valamilyen konvertálást is igényel, a veszély csökkenthető azzal, hogy az Eszközök (angolul Tools) menü Opciók almenüjének az Általános fülén aktiváljuk a "A konverzió megerősítése megnyitáskor" opciót. Így, ha valami gyanús konverziót észlelünk, megakadályozhatjuk a trójai faló behurcolását. A probléma a Word 2000, az Excel 2000 és a PowerPoint 2000 alkalmazóit érintik. Az Outlook alkalmazók, ha végrehajtották az Outlook Security Update módosítást, a gyanús objektumok működésbe lépése előtt kérdezőablakot kapnak, és beavatkozhatnak. Javítás:

b) A fenti javítás kiadása után nem sokkal a Microsoft újabb javításokat adott ki az előző javítások továbbfoltozására, mert ezek szerint nem lettek tökéletesek. A lezáró javítás azonos azzal, amit fentebb adtunk meg a 2.b) pontban. Elég tehát csak azt is végrehajtani, hogy az összes IE-környéki hiba elmúljon. Volt még két foltja a Microsoftnak, de azok nem oldották meg a problémát, csak kikerülték a szituációt (Excel 2000 és PowerPoint 2000, valamint a PowerPoint 97 foltozások, de ezeknél jobb a fenti javítás).

Húúúúú! A fesztiválműsor valószínűleg még nem teljes. Mint egyik kollégám szokta volt mondani: ketyegő aknákon ülünk, tán még halljuk is, hogy ketyegnek, de hogy hol?????

Kulcsszavak: security felhszoft

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Idén is keresi a digitális szakma női példaképeit az IVSZ és a WiTH

2024. november 22. 16:40

Huszadik alkalommal adták át a Hégető Honorka-díjakat

2024. november 21. 16:58

Hosszabbít ’Az Év Honlapja’ pályázat!

2024. november 19. 09:54

Törj be a digitális élvonalba: Nevezz ’Az Év Honlapja’ pályázatra!

2024. november 14. 16:36