Soome teadurid avastasid pakkimisprogrammides turvavea

Soomes tegutsev Oulu University Secure Programming Group (OUSPG) leidis testides vigu enamikust ACE, ARJ, BZ2, CAB, GZ, LHA, RAR, TAR, ZIP ja ZOO vormingus faile avavatest programmikoodidest, teatas riigi infosüsteemide arenduskeskus. Pakkimiseks kasutatavad programmikoodid on kasutusel paljudes tarkvaratoodetes, muu hulgas ka viirusetõrje programmides. Pakkimine on failide mahu vähendamine matemaatilisi algoritme kasutades, enamikule arvutikasutajatele on kindlasti tuttav pakkimisprogramm WinZIP.

CERT Eesti infoturbespetsialisti Tarmo Randeli sõnul oli Oulu Ülikooli teadurite leid suuremaastaabiline just pakkimist kasutavate rakenduste laia leviku tõttu. “Sama mustri järgi tekkinud vead on operatsioonisüsteemides, veebiserverites, viirusetõrjeprogrammides ja spetsiaalsetes pakkimisprogrammides,” selgitas ta.

“Hea tava järgides tuleb turvavea leidmisel teavitada esmalt asjassepuutuvaid osapooli. See annab tarkvara tootjale võimaluse parandada tooteid, enne kui sellest mingi häda sündida võiks. OUSPG teavitas tarkvaratootjaid vigadest pakkimisalgoritmides juba eelmisel aastal, mis jättis neile piisavalt pika reageerimisaja. Tavakasutajale märkamatult on viimase poole aasta jooksul vead enamikus rakendustes parandatud. Kuna praegu ei ole teada ühtegi pahavara, mis just neid nõrkusi arvutite ründamiseks kasutab, ei ole ka otsest ohtu uuendamata tarkvara kasutajatele. Samas tuleks kindlasti paigaldada tarkvarauuenduste tekkimisel need nii kiiresti kui võimalik, sest ajalugu on näidanud, et pärast turvavea avalikustamist tekivad kohe ka just seda auku kasutavad pahalased,” selgitab Randel.