OpenBSD to system, którego niekwestionowanym priorytetem w rozwoju jest bezpieczeństwo. Administracja projektu śmiało decyduje się na budzące niekiedy kontrowersje środki, by możliwie jak najbardziej uszczelnić swój produkt, czego dowiodła choćby całkowicie, wyłączając intelowski Hyper Threading w związku z podatności w mechanizmie predykcji procesorów x86.

Zobacz też: Aż 4 podatności znalezione w jednym z najbezpieczniejszych systemów operacyjnych

Rzecz jasna zdecydowane kroki na drodze do bezpieczeństwa OpenBSD nie obejmują tylko kwestii sprzętowych – co najmniej równie ważna jest przecież staranna selekcja domyślnych, preinstalowanych pakietów. Oczywiście nawet tak restrykcyjna polityka nie chroni OpenBSD od wpadek całkowicie – w ostatnim czasie donosiliśmy nie o jeden, lecz o czterech lukach bezpieczeństwa w mechanizmie logowania. Jedna z nich została zakwalifikowana jako krytyczna.

Każdy taki przypadek może być obierany przez twórców dystrybucji jako swoista ujma na honorze – nawet na stronie domowej systemu wita na wyświetlana czerwoną czcionką deklaracja, że OpenBSD to system, w którego domyślnej instalacji od bardzo dawna znalezione zostały tylko dwie luki bezpieczeństwa umożliwiające zdalną eksploatację. Ta bezkompromisowość znalazło ostatnio nowy wyraz – Janne Johansson ogłosił na blogu OpenBSD, że Firefox na gruncie tego systemu nie będzie już dłużej aktualizowany:

Drodzy użytkownicy OpenBSD, w związku z tym, że Firefox stał się zbyt skomplikowany do spakowania (dzięki cbindgen [generator plików nagłówkowych C/C++ dla bibliotek Rusta – przyp. red.] i zależnościom Rusta) w gałęzi stabilnej (ponieważ wymagałoby to przetestowania wszystkich komponentów korzystających z Rusta), stabilna gałąź 6.6 nie otrzyma aktualizacji z www/mozilla-firefox i pozostanie w niej podatność MFSA2020-03 i luki, które pojawią się później.

Rzeczona podatność MFSA2020-03 to krytyczna luka oznaczana jako CVE-2019-17026. Pojawiła się ona przed kilkoma dniami wraz z wydaniem Firefoksa 72. Błąd kompilatora JIT w obsłudze zawartości tablic prowadzący do podatności został załatany dzień po premierze nowej wersji, w wydaniu 72.0.1. Pośpiech ten był konieczny – Mozilla dysponowała bowiem informacjami, że CVE-2019-17026 jest już wykorzystywane do atakowania użytkowników przeglądarki.

To jednak nie stricte kwestie bezpieczeństwa zaważyły na losach Firefoksa w OpenBSD, lecz wspomniane trudności w spakowaniu programu. Nie oznacza to oczywiście, że użytkownicy tego systemu już zawsze będą skazani na wersję z krytyczną podatnością – to wszak byłoby na gruncie takiego systemu operacyjnego jak OpenBSD niedopuszczalne. Remedium okazuje się wydanie Extended Support Release: „z drugiej strony firefox-esr wciąż jest aktualizowany i rekomenduję przeniesienie się na tę wersję, jeśli korzystacie z OpenBSD 6.6”.

Aktualnie wydaniem ESR Firefoksa jest wydana na początku lipca 2019 r. wersja 68. Choć ważkość decyzji kierownictwa systemu operacyjnego uważanego przez wielu za cokolwiek egzotyczny może się wydać marginalna, to należy wziąć pod uwagę, że mowa o jednym z najbezpieczniejszych systemów operacyjnych, z jakich można dziś korzystać na komputerach osobistych. Skoro dostarczenie Firefoksa stanowi dla jego administracji taką trudność, to być może należałoby się zastanowić, w jakim kierunku zmierza rozwój tej świetnej przeglądarki, która wciąż traci użytkowników i jej udziały w rynku są dziś szacowane na 4,39%.

Zobacz też: System Hyperbola przenosi się na OpenBSD, bo Linux nie jest wystarczająco wolny