margin-top: 125px; border: 1px solid gray; } -->

Bezpečnostní přehled: Nejméně zranitelný prohlížeč je Chrome

Pavel Houser , 15. prosinec 2011 09:07 3 komentářů
Bezpečnostní přehled: Nejméně zranitelný prohlížeč je Chrome

Chrome má být nejbezpečnějším webovým browserem, Internet Explorer na druhém místě porazil Firefox. Probíhají útoky proti zero day zranitelnosti Adobe Readeru verze 9. Jak budou vypadat triky podvodníků ve světě HTML 5? Následuje pravidelný čtvrteční bezpečnostní přehled.

Společnost Accuvant provedla další srovnání bezpečnosti 3 nejpoužívanějších webových prohlížečů. Výsledek: Vyhrál Chrome, druhý byl Internet Explorer, nejhůře dopadl Firefox. Hodnocení začalo předpokladem, že chyby typu přetečení zásobníku jsou v jakémkoliv komplexnějším softwaru nevyhnutelné. Analýza se nesoustředí např. na počty zjištěných bezpečnostních děr a dobu do vydání oprav, ale testovala prostě výchozí nastavení prohlížečů proti široké množině exploitů a dalších typů útoku. Firefox vyšel z hodnocení na posledním místě především proto, že nenabízí sandbox. Uživatelé Firefoxu (na Windows – všechny tři prohlížeče se zkoušely pouze ve verzi pro Windows 7) jsou pak méně chráněni proti chybám při zpracování JavaScriptu, grafických formátů atd.

Analýza byla objednána Googlem, Accuvant však dodává, že volba metriky je jejich vlastní. Fakt je, že Chrome se nikdy nepodařilo kompromitovat na pravidelné hackerské soutěži CanSecWest skupiny Pwn2Own (mimochodem, na studii se podílel také Charlie Miller, jinak známý především svými odhaleními bezpečnostních mezer v produktech Apple na CanSecWest/Pwn2Own). Odstup mezi Chrome a Internet Explorerem je podobně výrazný jako mezi IE a Firefoxem. Chrome vyhrál nad IE údajně především kvůli lepšímu sandboxu. U Chrome nemají např. procesy v rámci prohlížeče vůbec přístup k souborovému systému vyjma velmi omezené sady adresářů, u Internet Exploreru je tomu naopak. Sandbox v Chrome má být také lepší z hlediska kontroly vzniku síťových socketů (samostatná komunikace procesů s internetovými servery).

Johnathan Nightingale, ředitel vývoje Firefoxu v Mozille uvedl, že zabezpečení mají za prioritu. Sandox je sice důležitý, ale není třeba mu přisuzovat takovou váhu, jako činila studie. Firefox se naopak může podle Nightingala pochlubit třeba kvalitní ochranou pomocí znáhodnění adresního prostoru.

Analýza Accuvant vyhodnotila Chrome jako nejlepší i kvůli tomu, co všechno prohlížeč dovolí doplňkům. Podvodníci nemusí cílit přímo na chybu prohlížeče, ale mohou se svým obětem snažit podstrčit i nějaký plug-in malwarové povahy. Doplňky pro MSIE mohou na rozdíl od Chrome vytvářet vlastní procesy a mají přístup ke schránce OS (možnost přenosu dat mezi aplikacemi).

Symantec Duqu Diagram
Symantec Duqu Diagram
Firefox pak mělo k poslednímu místu odsoudit i to, že nepodporuje Just In Time (JIT) hardening, tedy prevenci před útoky pomocí javascriptového kódu.

Zdroj: The Register, ZDNet

Celá studie

Koncem října malware DuQu začal mizet z infikovaných počítačů, jeho tvůrci se po sobě zřejmě snaží zamést stopy. Objeví se DuQu ještě někdy a splnil cíle svých tvůrců?

Zdroj: Strategy Page

Jaké budou hlavní metody útoků v prostředí HTML 5? Pro útočníky je důležité např. to, že zatímco HTML 5 nabízí podobnou funkčnost jako Adobe Flash, Java Flex nebo MS SilverLight, nejedná se o doplněk; výrobci prohlížečů proto nijak nebudou omezovat funkčnost. Na druhé straně ale samotný prohlížeč bude na rozdíl od doplňků po objevení nějaké bezpečnostní zranitelnosti zase obvykle rychle aktualizován... Změní se způsob útoků iFrame, XSS i clickjacking a triky s přesměrováním, jako nová metoda se může objevit tzv. WebSQL.

Zdroj: HelpNet

Podvodníci kopírují na mobilních platformách triky, které si již vyzkoušeli ve světě PC. Prodávají aplikaci SMS Privato Spy a deklarují, že tento nástroj umožňuje špehovat chytré telefony a například sledovat obsah obrazovky v reálném čase, sledovat výpisy volání, data z GPS nebo aktivovat mikrofon pro odposlouchávání uživatelů. Cena 50-125 dolarů. Aplikace ale ve skutečnosti neexistuje a kdo si ji chce koupit (málokdy asi s čistými úmysly), nedostane za své peníze vůbec nic.

Zdroj: Symantec

Další studie se pokouší vyhodnotit nárůst malwaru pro Android – tentokrát od společnosti Fortinet. Za rok 2011 vychází vzestup 90 % (počítáno jako počet zaznamenaných vzorků, nikoliv infikovaných zařízení nebo škod způsobených uživatelům). Zajímavé je toto číslo v relativním srovnání – pro Apple iOS je odpovídající nárůst 25 %. Fortinet jako hlavní příčinu rozdílu uvádí, že Android získal na trhu smartphonů podíl již přes 50 %. Svoji roli má ale hrát i otevřenost této platformy, do distribučního řetězce Applu je mnohem těžší cokoliv podstrčit. Malware pro iOS se tak prakticky omezuje na telefony odblokované pomocí jailbreakingu.

Fortinet jmenuje i první větší botnety ovládající telefony s Androidem: Geinimi a DroidKungFu.

Zdroj: CNet, Fortinet

Microsoft vydal beta verzi svého nástroje Windows Defender Offline. Má fungovat i v počítačích, které jsou malwarem natolik zaplácané, že už se nedokáží ani připojit k Internetu (nebo malware selektivně blokuje přístup k webům, které nabízejí ochranu). To není úplně zanedbatelná funkčnost: v dnešní době bezpečnostních řešení na bázi cloudů je dobré nezapomínat ani na to, že existuje také režim off-line. Program se spouští z USB/Flash nebo CD/DVD ještě před samotným systémem. Zdroj: BetaNews.com, The Register

Adobe vydala varování týkající se zranitelnosti Readeru pro Windows. Proti Readeru 9.4.6 již byly údajně zaznamenány útoky. Technické podrobnosti zveřejněny nebyly, výsledkem může být pád aplikace, ale potenciálně i plné ovládnutí systému útočníkem.

V tuto chvíli by již podle slibu Adobe měla být k dispozici mimořádná záplata. Nejnovější Reader X sice příslušnou chybu obsahuje také, ale další ochranné prostředky by měly jejímu zneužití bránit; mimořádná záplata se proto v tomto případě nekoná.

Adobe obecně uvádí, že opravu pro Reader 9 vydala tak rychle proto, aby se ve firmách instalovala ještě před vánočními svátky. Společnost ale opakuje, že nejbezpečnějším řešením je upgrade na Reader X.

Zdroj: ZDNet

Společnost VeriSign, známá certifikační autorita, uzavřela interní vyšetřování bezpečnostního incidentu ze září. „Comodohacker“, člověk, kteří již dříve narušil systémy certifikačních autorit Comodo a DigiNotar, se tehdy proboural do webového serveru VeriSign. Závěr: samotný systém vydávání certifikátů ale kompromitován nebyl.

Zdroj: ZDNet


Komentáře

Petr Maleček #1
Petr Maleček 15. prosinec 2011 09:40

Nemůžu se dočíst jedné poměrně důležité informace a to - jakých verzí prohlížečů se tento test týká ? Dost pochybuji, že bude stejná "děravost" nebo "bezpečnost" shodná u starého FF 2.0 a současné 9.0 beta. Stejně tak třeba IE6 vs IE9.

Bez těchto informací mi přijde článek dosti prázdný a nic neříkající. To je asi jako když řeknu, že ve spolehlivosti vozů vyhrává Honda, na druhém místě BMW a jako třetí Renault. Konkrétně vlastně nic. Nic ve zlém.

Joelp #2
Joelp 15. prosinec 2011 11:40

Celé je to jen opsané z jiného zdroje. Původcem "měření" je Google a celé je to prostě ohlé tak, aby jim to vyšlo :)

Zajímavé ale je, že dokonce na lupě jim to nikde "nežere" :) Čekal jsem nějaký flame, ale nic :) ( http://www.lupa.cz/zpravicky/nejvice-bezpecne-je-chrome-nejmene-firefox-tvrdi-accuvant/ )

Karel Wolf 15. prosinec 2011 14:20

Ano, studie je skutecne sponzorovana Googlem, na tom neni zase tak nic prekvapiveho, zvlastni ale je, ze v tom 139 strankovem reportu skutecne spousta dat k metodice chybi: http://www.accuvant.com/sites/default/files/images/webbrowserresearch_v1_0.pdf

RSS 

Komentujeme

Jak srovnávali jablka s hruškami

Pavel Houser , 27. květen 2017 14:30
Pavel Houser

Absurdní patent či ochranná známka, respektive absurdní výsledek sporu? A že je hloupost srovnávat j...

Více





RSS 

Zprávičky

Pracovní nabídky v SAP Services připravují roboti

Pavel Houser , 28. květen 2017 08:00

Ve společnosti SAP Services se podařilo zautomatizovat tvorbu pracovních nabídek napříč různými země...

Více 1 komentářů

Výdaje na reklamu na webech v dubnu stouply na 652 milionů Kč

ČTK , 27. květen 2017 09:04

Seznam získal 240 milionů, Mafra inkasovala 118 milionů a Economia 76 milionů korun....

Více 0 komentářů

Dell EMC podporuje transformaci IT s novými produkty pro open networking

Pavel Houser , 26. květen 2017 14:46

Přepínače Dell EMC pro Open Networking tvoří spolu se servery PowerEdge čtrnácté generace a špičkový...

Více 0 komentářů

Starší zprávičky

Hodnota bitcoinu stoupla na nový rekord přes 2400 dolarů

ČTK , 26. květen 2017 09:23

K růstu bitcoinu přispívá příliv nového kapitálu a růst poptávky po dalších digitálních měnách....

Více 0 komentářů

Tři zranitelnosti a opravy: Samba, Joomla, videopřehrávače

Pavel Houser , 25. květen 2017 16:30

Vektorem útoku může být i soubor s titulky....

Více 0 komentářů

Lenovo opět v zisku

ČTK , 25. květen 2017 15:32

Lenovo se snaží omezit svou závislost na trhu s PC a rozšiřuje aktivity v oblasti chytrých telefonů ...

Více 0 komentářů

Zákon o elektronické identifikaci Sněmovna asi schválí beze změn

ČTK , 25. květen 2017 09:00

Jedním z cílů nových občanských průkazů je poskytnout držitelům elektronický podpis....

Více 0 komentářů