Bezpečnostní přehled: Nejméně zranitelný prohlížeč je Chrome

Pavel Houser , 15. prosinec 2011 09:07 3 komentářů
Bezpečnostní přehled: Nejméně zranitelný prohlížeč je Chrome

Chrome má být nejbezpečnějším webovým browserem, Internet Explorer na druhém místě porazil Firefox. Probíhají útoky proti zero day zranitelnosti Adobe Readeru verze 9. Jak budou vypadat triky podvodníků ve světě HTML 5? Následuje pravidelný čtvrteční bezpečnostní přehled.

Společnost Accuvant provedla další srovnání bezpečnosti 3 nejpoužívanějších webových prohlížečů. Výsledek: Vyhrál Chrome, druhý byl Internet Explorer, nejhůře dopadl Firefox. Hodnocení začalo předpokladem, že chyby typu přetečení zásobníku jsou v jakémkoliv komplexnějším softwaru nevyhnutelné. Analýza se nesoustředí např. na počty zjištěných bezpečnostních děr a dobu do vydání oprav, ale testovala prostě výchozí nastavení prohlížečů proti široké množině exploitů a dalších typů útoku. Firefox vyšel z hodnocení na posledním místě především proto, že nenabízí sandbox. Uživatelé Firefoxu (na Windows – všechny tři prohlížeče se zkoušely pouze ve verzi pro Windows 7) jsou pak méně chráněni proti chybám při zpracování JavaScriptu, grafických formátů atd.

Analýza byla objednána Googlem, Accuvant však dodává, že volba metriky je jejich vlastní. Fakt je, že Chrome se nikdy nepodařilo kompromitovat na pravidelné hackerské soutěži CanSecWest skupiny Pwn2Own (mimochodem, na studii se podílel také Charlie Miller, jinak známý především svými odhaleními bezpečnostních mezer v produktech Apple na CanSecWest/Pwn2Own). Odstup mezi Chrome a Internet Explorerem je podobně výrazný jako mezi IE a Firefoxem. Chrome vyhrál nad IE údajně především kvůli lepšímu sandboxu. U Chrome nemají např. procesy v rámci prohlížeče vůbec přístup k souborovému systému vyjma velmi omezené sady adresářů, u Internet Exploreru je tomu naopak. Sandbox v Chrome má být také lepší z hlediska kontroly vzniku síťových socketů (samostatná komunikace procesů s internetovými servery).

Johnathan Nightingale, ředitel vývoje Firefoxu v Mozille uvedl, že zabezpečení mají za prioritu. Sandox je sice důležitý, ale není třeba mu přisuzovat takovou váhu, jako činila studie. Firefox se naopak může podle Nightingala pochlubit třeba kvalitní ochranou pomocí znáhodnění adresního prostoru.

Analýza Accuvant vyhodnotila Chrome jako nejlepší i kvůli tomu, co všechno prohlížeč dovolí doplňkům. Podvodníci nemusí cílit přímo na chybu prohlížeče, ale mohou se svým obětem snažit podstrčit i nějaký plug-in malwarové povahy. Doplňky pro MSIE mohou na rozdíl od Chrome vytvářet vlastní procesy a mají přístup ke schránce OS (možnost přenosu dat mezi aplikacemi).

Symantec Duqu Diagram
Symantec Duqu Diagram
Firefox pak mělo k poslednímu místu odsoudit i to, že nepodporuje Just In Time (JIT) hardening, tedy prevenci před útoky pomocí javascriptového kódu.

Zdroj: The Register, ZDNet

Celá studie

Koncem října malware DuQu začal mizet z infikovaných počítačů, jeho tvůrci se po sobě zřejmě snaží zamést stopy. Objeví se DuQu ještě někdy a splnil cíle svých tvůrců?

Zdroj: Strategy Page

Jaké budou hlavní metody útoků v prostředí HTML 5? Pro útočníky je důležité např. to, že zatímco HTML 5 nabízí podobnou funkčnost jako Adobe Flash, Java Flex nebo MS SilverLight, nejedná se o doplněk; výrobci prohlížečů proto nijak nebudou omezovat funkčnost. Na druhé straně ale samotný prohlížeč bude na rozdíl od doplňků po objevení nějaké bezpečnostní zranitelnosti zase obvykle rychle aktualizován... Změní se způsob útoků iFrame, XSS i clickjacking a triky s přesměrováním, jako nová metoda se může objevit tzv. WebSQL.

Zdroj: HelpNet

Podvodníci kopírují na mobilních platformách triky, které si již vyzkoušeli ve světě PC. Prodávají aplikaci SMS Privato Spy a deklarují, že tento nástroj umožňuje špehovat chytré telefony a například sledovat obsah obrazovky v reálném čase, sledovat výpisy volání, data z GPS nebo aktivovat mikrofon pro odposlouchávání uživatelů. Cena 50-125 dolarů. Aplikace ale ve skutečnosti neexistuje a kdo si ji chce koupit (málokdy asi s čistými úmysly), nedostane za své peníze vůbec nic.

Zdroj: Symantec

Další studie se pokouší vyhodnotit nárůst malwaru pro Android – tentokrát od společnosti Fortinet. Za rok 2011 vychází vzestup 90 % (počítáno jako počet zaznamenaných vzorků, nikoliv infikovaných zařízení nebo škod způsobených uživatelům). Zajímavé je toto číslo v relativním srovnání – pro Apple iOS je odpovídající nárůst 25 %. Fortinet jako hlavní příčinu rozdílu uvádí, že Android získal na trhu smartphonů podíl již přes 50 %. Svoji roli má ale hrát i otevřenost této platformy, do distribučního řetězce Applu je mnohem těžší cokoliv podstrčit. Malware pro iOS se tak prakticky omezuje na telefony odblokované pomocí jailbreakingu.

Fortinet jmenuje i první větší botnety ovládající telefony s Androidem: Geinimi a DroidKungFu.

Zdroj: CNet, Fortinet

Microsoft vydal beta verzi svého nástroje Windows Defender Offline. Má fungovat i v počítačích, které jsou malwarem natolik zaplácané, že už se nedokáží ani připojit k Internetu (nebo malware selektivně blokuje přístup k webům, které nabízejí ochranu). To není úplně zanedbatelná funkčnost: v dnešní době bezpečnostních řešení na bázi cloudů je dobré nezapomínat ani na to, že existuje také režim off-line. Program se spouští z USB/Flash nebo CD/DVD ještě před samotným systémem. Zdroj: BetaNews.com, The Register

Adobe vydala varování týkající se zranitelnosti Readeru pro Windows. Proti Readeru 9.4.6 již byly údajně zaznamenány útoky. Technické podrobnosti zveřejněny nebyly, výsledkem může být pád aplikace, ale potenciálně i plné ovládnutí systému útočníkem.

V tuto chvíli by již podle slibu Adobe měla být k dispozici mimořádná záplata. Nejnovější Reader X sice příslušnou chybu obsahuje také, ale další ochranné prostředky by měly jejímu zneužití bránit; mimořádná záplata se proto v tomto případě nekoná.

Adobe obecně uvádí, že opravu pro Reader 9 vydala tak rychle proto, aby se ve firmách instalovala ještě před vánočními svátky. Společnost ale opakuje, že nejbezpečnějším řešením je upgrade na Reader X.

Zdroj: ZDNet

Společnost VeriSign, známá certifikační autorita, uzavřela interní vyšetřování bezpečnostního incidentu ze září. „Comodohacker“, člověk, kteří již dříve narušil systémy certifikačních autorit Comodo a DigiNotar, se tehdy proboural do webového serveru VeriSign. Závěr: samotný systém vydávání certifikátů ale kompromitován nebyl.

Zdroj: ZDNet


Komentáře

Petr Maleček #1
Petr Maleček 15. prosinec 2011 09:40

Nemůžu se dočíst jedné poměrně důležité informace a to - jakých verzí prohlížečů se tento test týká ? Dost pochybuji, že bude stejná "děravost" nebo "bezpečnost" shodná u starého FF 2.0 a současné 9.0 beta. Stejně tak třeba IE6 vs IE9.

Bez těchto informací mi přijde článek dosti prázdný a nic neříkající. To je asi jako když řeknu, že ve spolehlivosti vozů vyhrává Honda, na druhém místě BMW a jako třetí Renault. Konkrétně vlastně nic. Nic ve zlém.

Joelp #2
Joelp 15. prosinec 2011 11:40

Celé je to jen opsané z jiného zdroje. Původcem "měření" je Google a celé je to prostě ohlé tak, aby jim to vyšlo :)

Zajímavé ale je, že dokonce na lupě jim to nikde "nežere" :) Čekal jsem nějaký flame, ale nic :) ( http://www.lupa.cz/zpravicky/nejvice-bezpecne-je-chrome-nejmene-firefox-tvrdi-accuvant/ )

Karel Wolf 15. prosinec 2011 14:20

Ano, studie je skutecne sponzorovana Googlem, na tom neni zase tak nic prekvapiveho, zvlastni ale je, ze v tom 139 strankovem reportu skutecne spousta dat k metodice chybi: http://www.accuvant.com/sites/default/files/images/webbrowserresearch_v1_0.pdf

RSS 

Komentujeme

Makroviry inspirují

Pavel Houser , 20. září 2017 06:30
Pavel Houser

Úspěšný návrat malwaru šířeného pomocí maker vedl útočníky k tomu, že svou pozornost obrátili k příb...

Více






Kalendář

25. 09.

29. 09.
Susecon 17
25. 09.

29. 09.
Microsoft Ignite 2017
26. 09.

26. 08.
Affiliate konferencia 2017
RSS 

Zprávičky

Nové verze Javy: Java SE 9 a Java EE 8

Pavel Houser , 22. září 2017 14:51

Oracle oznamuje všeobecnou dostupnost nových verzí platformy Java: Java SE 9 (JDK 9), Java Platform ...

Více 0 komentářů

Baidu investuje do vývoje autonomního řízení

ČTK , 22. září 2017 13:00

Cílem projektu Apollo je vyvinout technologii pro samořízené automobily do roku 2020....

Více 0 komentářů

Kaprain koupil kabelovou Rio Media

ČTK , 22. září 2017 09:00

Spojením Nej.cz a Rio Media vznikne druhý největší poskytovatel kabelové televize a významný poskyto...

Více 0 komentářů

Starší zprávičky

Apple přiznává: Nové hodinky mají problémy s připojením

ČTK , 22. září 2017 08:00

Problémy s konektivitou mají hodinky v okamžiku, kdy mají použít veřejnou wi-fi síť....

Více 0 komentářů

Spíše než nové zákony k Airbnb je třeba zlepšit výběr daní

ČTK , 21. září 2017 13:00

Airbnb se svými službami v Praze už vyrovnala objemu obchodu klasických ubytovacích zařízení....

Více 0 komentářů

Potvrzeno: Google opravdu kupuje část HTC

ČTK , 21. září 2017 11:25

Dnes je HTC v žebříčku světových prodejů smartphonů na necelém procentu. Někteří analytici proto pří...

Více 0 komentářů

Oracle představil novou cenovou politiku pro cloud

Pavel Houser , 21. září 2017 09:52

Až dosud se při přechodu na cloud PaaS nedaly využít dosavadní investice do licencí softwaru v režim...

Více 0 komentářů