margin-top: 125px; border: 1px solid gray; } -->

Bezpečnostní přehled: Nejméně zranitelný prohlížeč je Chrome

Pavel Houser , 15. prosinec 2011 09:07 3 komentářů
Bezpečnostní přehled: Nejméně zranitelný prohlížeč je Chrome

Chrome má být nejbezpečnějším webovým browserem, Internet Explorer na druhém místě porazil Firefox. Probíhají útoky proti zero day zranitelnosti Adobe Readeru verze 9. Jak budou vypadat triky podvodníků ve světě HTML 5? Následuje pravidelný čtvrteční bezpečnostní přehled.

Společnost Accuvant provedla další srovnání bezpečnosti 3 nejpoužívanějších webových prohlížečů. Výsledek: Vyhrál Chrome, druhý byl Internet Explorer, nejhůře dopadl Firefox. Hodnocení začalo předpokladem, že chyby typu přetečení zásobníku jsou v jakémkoliv komplexnějším softwaru nevyhnutelné. Analýza se nesoustředí např. na počty zjištěných bezpečnostních děr a dobu do vydání oprav, ale testovala prostě výchozí nastavení prohlížečů proti široké množině exploitů a dalších typů útoku. Firefox vyšel z hodnocení na posledním místě především proto, že nenabízí sandbox. Uživatelé Firefoxu (na Windows – všechny tři prohlížeče se zkoušely pouze ve verzi pro Windows 7) jsou pak méně chráněni proti chybám při zpracování JavaScriptu, grafických formátů atd.

Analýza byla objednána Googlem, Accuvant však dodává, že volba metriky je jejich vlastní. Fakt je, že Chrome se nikdy nepodařilo kompromitovat na pravidelné hackerské soutěži CanSecWest skupiny Pwn2Own (mimochodem, na studii se podílel také Charlie Miller, jinak známý především svými odhaleními bezpečnostních mezer v produktech Apple na CanSecWest/Pwn2Own). Odstup mezi Chrome a Internet Explorerem je podobně výrazný jako mezi IE a Firefoxem. Chrome vyhrál nad IE údajně především kvůli lepšímu sandboxu. U Chrome nemají např. procesy v rámci prohlížeče vůbec přístup k souborovému systému vyjma velmi omezené sady adresářů, u Internet Exploreru je tomu naopak. Sandbox v Chrome má být také lepší z hlediska kontroly vzniku síťových socketů (samostatná komunikace procesů s internetovými servery).

Johnathan Nightingale, ředitel vývoje Firefoxu v Mozille uvedl, že zabezpečení mají za prioritu. Sandox je sice důležitý, ale není třeba mu přisuzovat takovou váhu, jako činila studie. Firefox se naopak může podle Nightingala pochlubit třeba kvalitní ochranou pomocí znáhodnění adresního prostoru.

Analýza Accuvant vyhodnotila Chrome jako nejlepší i kvůli tomu, co všechno prohlížeč dovolí doplňkům. Podvodníci nemusí cílit přímo na chybu prohlížeče, ale mohou se svým obětem snažit podstrčit i nějaký plug-in malwarové povahy. Doplňky pro MSIE mohou na rozdíl od Chrome vytvářet vlastní procesy a mají přístup ke schránce OS (možnost přenosu dat mezi aplikacemi).

Symantec Duqu Diagram
Symantec Duqu Diagram
Firefox pak mělo k poslednímu místu odsoudit i to, že nepodporuje Just In Time (JIT) hardening, tedy prevenci před útoky pomocí javascriptového kódu.

Zdroj: The Register, ZDNet

Celá studie

Koncem října malware DuQu začal mizet z infikovaných počítačů, jeho tvůrci se po sobě zřejmě snaží zamést stopy. Objeví se DuQu ještě někdy a splnil cíle svých tvůrců?

Zdroj: Strategy Page

Jaké budou hlavní metody útoků v prostředí HTML 5? Pro útočníky je důležité např. to, že zatímco HTML 5 nabízí podobnou funkčnost jako Adobe Flash, Java Flex nebo MS SilverLight, nejedná se o doplněk; výrobci prohlížečů proto nijak nebudou omezovat funkčnost. Na druhé straně ale samotný prohlížeč bude na rozdíl od doplňků po objevení nějaké bezpečnostní zranitelnosti zase obvykle rychle aktualizován... Změní se způsob útoků iFrame, XSS i clickjacking a triky s přesměrováním, jako nová metoda se může objevit tzv. WebSQL.

Zdroj: HelpNet

Podvodníci kopírují na mobilních platformách triky, které si již vyzkoušeli ve světě PC. Prodávají aplikaci SMS Privato Spy a deklarují, že tento nástroj umožňuje špehovat chytré telefony a například sledovat obsah obrazovky v reálném čase, sledovat výpisy volání, data z GPS nebo aktivovat mikrofon pro odposlouchávání uživatelů. Cena 50-125 dolarů. Aplikace ale ve skutečnosti neexistuje a kdo si ji chce koupit (málokdy asi s čistými úmysly), nedostane za své peníze vůbec nic.

Zdroj: Symantec

Další studie se pokouší vyhodnotit nárůst malwaru pro Android – tentokrát od společnosti Fortinet. Za rok 2011 vychází vzestup 90 % (počítáno jako počet zaznamenaných vzorků, nikoliv infikovaných zařízení nebo škod způsobených uživatelům). Zajímavé je toto číslo v relativním srovnání – pro Apple iOS je odpovídající nárůst 25 %. Fortinet jako hlavní příčinu rozdílu uvádí, že Android získal na trhu smartphonů podíl již přes 50 %. Svoji roli má ale hrát i otevřenost této platformy, do distribučního řetězce Applu je mnohem těžší cokoliv podstrčit. Malware pro iOS se tak prakticky omezuje na telefony odblokované pomocí jailbreakingu.

Fortinet jmenuje i první větší botnety ovládající telefony s Androidem: Geinimi a DroidKungFu.

Zdroj: CNet, Fortinet

Microsoft vydal beta verzi svého nástroje Windows Defender Offline. Má fungovat i v počítačích, které jsou malwarem natolik zaplácané, že už se nedokáží ani připojit k Internetu (nebo malware selektivně blokuje přístup k webům, které nabízejí ochranu). To není úplně zanedbatelná funkčnost: v dnešní době bezpečnostních řešení na bázi cloudů je dobré nezapomínat ani na to, že existuje také režim off-line. Program se spouští z USB/Flash nebo CD/DVD ještě před samotným systémem. Zdroj: BetaNews.com, The Register

Adobe vydala varování týkající se zranitelnosti Readeru pro Windows. Proti Readeru 9.4.6 již byly údajně zaznamenány útoky. Technické podrobnosti zveřejněny nebyly, výsledkem může být pád aplikace, ale potenciálně i plné ovládnutí systému útočníkem.

V tuto chvíli by již podle slibu Adobe měla být k dispozici mimořádná záplata. Nejnovější Reader X sice příslušnou chybu obsahuje také, ale další ochranné prostředky by měly jejímu zneužití bránit; mimořádná záplata se proto v tomto případě nekoná.

Adobe obecně uvádí, že opravu pro Reader 9 vydala tak rychle proto, aby se ve firmách instalovala ještě před vánočními svátky. Společnost ale opakuje, že nejbezpečnějším řešením je upgrade na Reader X.

Zdroj: ZDNet

Společnost VeriSign, známá certifikační autorita, uzavřela interní vyšetřování bezpečnostního incidentu ze září. „Comodohacker“, člověk, kteří již dříve narušil systémy certifikačních autorit Comodo a DigiNotar, se tehdy proboural do webového serveru VeriSign. Závěr: samotný systém vydávání certifikátů ale kompromitován nebyl.

Zdroj: ZDNet


Komentáře

Petr Maleček #1
Petr Maleček 15. prosinec 2011 09:40

Nemůžu se dočíst jedné poměrně důležité informace a to - jakých verzí prohlížečů se tento test týká ? Dost pochybuji, že bude stejná "děravost" nebo "bezpečnost" shodná u starého FF 2.0 a současné 9.0 beta. Stejně tak třeba IE6 vs IE9.

Bez těchto informací mi přijde článek dosti prázdný a nic neříkající. To je asi jako když řeknu, že ve spolehlivosti vozů vyhrává Honda, na druhém místě BMW a jako třetí Renault. Konkrétně vlastně nic. Nic ve zlém.

Joelp #2
Joelp 15. prosinec 2011 11:40

Celé je to jen opsané z jiného zdroje. Původcem "měření" je Google a celé je to prostě ohlé tak, aby jim to vyšlo :)

Zajímavé ale je, že dokonce na lupě jim to nikde "nežere" :) Čekal jsem nějaký flame, ale nic :) ( http://www.lupa.cz/zpravicky/nejvice-bezpecne-je-chrome-nejmene-firefox-tvrdi-accuvant/ )

Karel Wolf 15. prosinec 2011 14:20

Ano, studie je skutecne sponzorovana Googlem, na tom neni zase tak nic prekvapiveho, zvlastni ale je, ze v tom 139 strankovem reportu skutecne spousta dat k metodice chybi: http://www.accuvant.com/sites/default/files/images/webbrowserresearch_v1_0.pdf

RSS 

Komentujeme

V datových centrech už nejde o Windows?

Pavel Houser , 22. březen 2017 12:47
Pavel Houser

Trevor Pott si na The Register pokládá otázku o budoucnosti serverových Windows na platformě ARM. ...

Více






RSS 

Zprávičky

MPO do konce března vypíše výzvu na dotace pro rychlý internet

ČTK , 26. březen 2017 14:00

Ministerstvo průmyslu a obchodu by mělo do konce března vypsat první část výzvy k čerpání evropských...

Více 0 komentářů

YouTube dál ztrácí inzerenty kvůli obavám z kontroverzních videí

ČTK , 26. březen 2017 09:00

Internetový portál pro sdílení videí YouTube dál ztrácí inzerenty kvůli obavám, že jejich reklamy bu...

Více 0 komentářů

Čínská ZTE přiznala nelegální zasílání zboží z USA do Íránu

ČTK , 25. březen 2017 09:00

Čínský výrobce telekomunikačního zařízení ZTE Corp. přiznal před soudem v Texasu vinu, že nelegálně ...

Více 1 komentářů

Starší zprávičky

Bosch a IBM začaly spolupracovat na IoT pro průmysl

Pavel Houser , 24. březen 2017 13:08

Výrobci aut mohou nyní plánovat a organizovat aktualizaci softwaru u milionů vozů....

Více 0 komentářů

Apple čeká na Novém Zélandu vyšetřování kvůli daním

ČTK , 24. březen 2017 13:00

Americkou společnost Apple čeká na Novém Zélandu vyšetřování, navzdory miliardovému obratu tam totiž...

Více 0 komentářů

Huawei a SUSE spolupracují na platformě pro kritické úlohy

Pavel Houser , 24. březen 2017 11:42

SUSE Linux Enterprise Server jako preferovaný standardní OS pro KunLu umožňuje výměnu procesorů a pa...

Více 0 komentářů

Novela zavádí lepší užití informačních systémů veřejné správy

ČTK , 24. březen 2017 08:00

Zákon má mj. zabránit duplicitě informačních systémů a plýtvání penězi při jejich nákupu....

Více 0 komentářů