Produkty Mozilla Corporation a bezpečnostní politika

Pokud používáte produkty Mozilla Corporation tj. Firefox či Thunderbird, zcela jistě jste si všimli, že se jednou za čas objeví bezpečnostní aktualizace. Řada lidí si je bohužel vykládá jako "nové verze" produktů či (ne)zveřejňování informací o bezpečnostních chybách chápe poněkud špatně. Pokusím se to tedy zjednodušeně vysvětlit.

Mozilla Corporation vydává ke svým produktům aktualizace přibližně jednou za dva měsíce (tento čas berte jako orientační). Do takovéto aktualizace jsou zahrnovány opravy chyb, které vylepšují stabilitu produktu a opravy bezpečnostních chyb. Tyto aktualizace nepřidávají žádnou novou funkcionalitu. Taková aktualizace Firefoxu 1.5 má označení 1.5.0.1, 1.5.0.7 apod. (viz popis verzování). Pokud u produktu není důvod vydat aktualizaci (jednoduše není proč), pak se nevydá. To se netýká Firefoxu, u kterého je vždy něco na opravu, ale Thunderbirdu. Například Thunderbird 1.5.0.6 nebyl nikdy vydán.

Bezpečnostní aktualizace k produktu vychází ještě min. půl roku po vydání nové verze. To znamená, že až vyjde Firefox 2.0, budou k verzi 1.5 vydávány bezpečnostní aktualizace ještě min. půl roku. Uživatelům je tedy dán dostatečný čas pro upgrade na novou verzi produktu. Pro různé organizace, které vyžadují delší podporu, Mozilla Corporation nabízí prodlouženou placenou podporu.

"Cyklus" bezpečnostní chyby

Bezpečnostní chybu dost často objeví sami vývojáři. Druhou možností je, že ji někdo nahlásí, příp. někde zveřejní. V prvním případě se na dotyčného vztahuje bounty program. Za nalezenou a nahlášenou závažnou bezpečnostní chybu totiž Mozilla Corporation nabízí odměnu 500 dolarů. V druhém případě, kdy chybu autor někde na webu zveřejní a její závažnost je velká, vydá se bezpečnostní aktualizace co nejdříve. Přímo nahlášené chyby, kdy o nich ví jen skupina lidí, skýtá určitou časovou variabilitu a oprava se může zahrnout až do další pravidelné bezpečnostní aktualizace.

Nahlášené bezpečnostní chyby se evidují v Bugzille. Její běžný uživatel se však k nim nedostane. Přístup k nim má pouze určitý okruh vývojářů. Proč k nim není přístup, když se jedná o otevřený projekt? Inu, je to určitý způsob ochrany uživatelů před zneužitím chyby do té doby, dokud nebude vydána aktualizace, která umožní uživatelům chybu opravit. Jednotlivé nahlášené reporty totiž často obsahují ukázky, jakým způsobem se dá chyba zneužít. Kdyby se tato informace začala šířit po Internetu, nebylo by to pro koncové uživatele dobré. Tyto bugy jsou tedy odtajňovány až časem (konkrétní odstup není určen).

Seznam opravených bezpečnostních chyb v jednotlivých verzích naleznete v přehledu spolu s detailními informacemi.

Kde hledat další informace:

• Mozilla Security Center
• Handling Mozilla Security Bugs
• Mozilla Security Bug Bounty Program

Přečtěte si také:

• Jak v Thunderbirdu dočasně zakázat přijímání pošty u poštovního účtu
• Firefox 2.0 a asociace souborů (protokolů) ve Windows Vista

Komentáře

K příspěvku dosud nebyl přidán komentář.

Přidat komentář

K tomuto příspěvku není možné přidávat další komentáře.