Chromium - säkerhet

[johnh3]

Även Explorer 9 har en del säkerhetsunktioner:

http://windows.microsoft.com/sv-SE/internet-explorer/products/ie-9/features/smartscreen-filter

Finns uppgifter om att den är den säkraste webbläsaren:

http://blogs.technet.com/b/microsoftnyheter/archive/2011/07/14/internet-explorer-9-fortfarande-den-s-228-kraste-webbl-228-saren.aspx

Men samma uppgifter finns om Chrome:

http://www.prisjakt.nu/pryl/dator/1497_ny_studie_google_chrome_saekrast

Hur det är i dagsläget vet jag inte.

[JoWa]

Microsofts rubrik är rätt missvisande. Att Microsofts SmartScreen detekterade fler skadliga sidor än Googles Safe Browsing, gör inte IE säkrare än Chrome. Men visst, det hjälper i större utsträckning användarna att undvika kända skadliga sidor. Om/hur Safe Browsing kommer att påverkas av att Google nyss köpte VirusTotal blir intressant att se.

Det finns dock även ”riktiga” säkerhetsfunktioner i IE. Redan IE7 i Vista använde de då nya integritetsnivåerna för att skapa en enkel sandlåda. Men så vitt jag vet är det endast Chromium som använder den lägsta integritetsnivån obetrodd.

Vid Pwn2Own i våras lyckades Vupen ta sig ut ur Chromes sandlåda genom att utnyttja ett hål i Flash Player. Det skulle inte lyckas i dag, med den mycket säkrare PepperFlash i Chrome. Även vårens Pwnium (se tidigare inlägg i denna tråd) ledde till att sårbarheter hittades, och fixades inom 24 timmar. De som ställer upp i Pwnium 2 om en månad har en betydligt svårare uppgift än i våras.

Edited September 18, 2012 by JoWa

[JoWa]

Chris Evans: The joys and hazards of multi-process browser security

[JoWa]

The Chromium Blog: Announcing Pwnium 2

The Chromium Blog: Pwnium 2 begins

https://pwnium.appspot.com/

Edited October 10, 2012 by JoWa

[JoWa]

Pwnium 2: results and wrap-up

[JoWa]

NSS Labs har testat vilken webbläsare som blockerar flest skadliga sidor.

Internet Explorer 10 was the only tested browser that does not use the Google SafeBrowsing API and had a mean block rate of 92%. For products using the SafeBrowsing API, Chrome 21 had a mean block rate of 94%, Safari 5 achieved a mean block rate of 90%, and Firefox 15 had a mean block rate of 90%.

Källa (pdf): https://www.nsslabs....er_Phishing.pdf

Glädjande att Googles SafeBrowsing nu är i klass med Microsofts SmartScreen. Att SafeBrowsing är ett öppet API, som andra kan använda, och använder, gör det inte mindre glädjande.

[JoWa]

Justin Schuh om skillnaden mellan Chrome för XP och Chrome för Vista och senare:

 

I'm one of the lead devs on the Chrome Windows sandbox, and I can assure you that what we do with Vista+ on the security front is leaps and bounds ahead of what we're stuck with on XP. DEP is unreliable and pretty worthless anyway without ASLR. You also don't have things like SEHOP or other memory mitigations that are the first line of defense between your system and the average stale pointer exploit against WebKit.

As for the sandbox itself, we run as "Untrusted" integrity level under Vista+, which buys a solid layer of defense on top the SID, rights, and job based sandboxing we do on XP. Our GPU process sandbox in particular (used for accelerated graphics) relies heavily on Vista+ integrity levels due to deficiencies in the Windows XP driver and graphics model. Then there's the fact that XP is lacking hundreds of security fixes that Microsoft has chosen not to backport.

Seriously, I've spent many weeks trying to wring every last bit of security I can out of XP, and I really do think that Chrome does the best anyone possibly could on that front. But in the end XP is just an OS that's far past its security expiration date, and running it at all means taking a big risk.

https://news.ycombinator.com/item?id=4860203

[JoWa]

Kommande utmaningar för Chrome och Chrome OS: Show off Your Security Skills: Pwn2Own and Pwnium 3

[JoWa]

Framgång för MWR Labs vid årets Pwn2Own. De lyckades bryta sig ut ur Chromes sandlåda. De utnyttjade bl.a. en sårbarhet i Windows-kärnan (Windows 7 64-bit, helt uppdaterat system). Ovanpå en sårbar kärna är det omöjligt att skapa helt säkra program. Filtrering av systemanrop, som Chrome för Linux använder (Seccomp-BPF) hade kanske omöjliggjort utbrytningen.

 

Läs mer här: https://labs.mwrinfosecurity.com/blog/2013/03/06/pwn2own-at-cansecwest-2013/

Edited September 30, 2013 by JoWa

[JoWa]

Fler resultat från Pwn2Own, onsdag:

• 1:30 - Java (James Forshaw) PWNED
• 2:30 - Java (Joshua Drake) PWNED
• 3:30 - IE 10 (VUPEN Security) PWNED
• 4:30 - Chrome (Nils & Jon) PWNED
• 5:30 - Firefox (VUPEN Security) PWNED
• 5:31 - Java (VUPEN Security) PWNED

http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Pwn2Own-2013/ba-p/5981157

 

Heja Java!

[JoWa]

Resultat från Pwn2Own, torsdag:

• 12pm - Flash (VUPEN Security) PWNED
• 1pm - Adobe Reader (George Hotz) PWNED
• 2pm - Java (Ben Murphy via proxy) PWNED

http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Pwn2Own-2013/ba-p/5981157

 

Chrome och Firefox har redan uppdaterats.

Edited March 8, 2013 by JoWa

[JoWa]

The Chromium Blog: Pwnium 3 and Pwn2Own Results

[JoWa]

The Chromium Blog: Security rewards at Google: Two MEEELLION Dollars Later

 

Över två miljoner U$D har nu utbetalats för buggar som kan innebära säkerhetsrisker.

 

Samtidigt meddelas att för buggar som tidigare gavs 1 000 U$D, ges nu upp till 5 000 U$D.

 

Börja hacka!   

[e-son]

Jag vet en som inte behöver hackas... och som förmodligen inte är giltig grund för utbetalning. Kallas NSA_Exploit...

[JoWa]

Från och med någon gång i början av 2014, kommer Chromium inte längre att betrakta certifikat med en giltighetstid längre än 60 månader som giltiga. Detta meddelades i CA/Browser Forums e-postlista: Deprecating support for long-lived certificates

 

Mozilla svarade att de överväger att göra sammalunda: Reject certificates with lifetimes greater than 60 months

[e-son]

Bra! Då gäller det bara att betonghäckarna på Microsoft hakar på.  

 

[JoWa]

Ja, vi får väl se i IE12, om ett år eller så. 12:an kanske rentav kommer att stödja HSTS också.

[JoWa]

Fler kommande förändringar av Chromes certifikathantering har meddelats: [cabfpub] Upcoming changes to Google Chrome's certificate handling

 

Bl.a. kommer Chrome att kräva att RSA-nyckellängden är minst 2048 bit. För EV-certifikat (Ectended Validation) kommer ”certifikattransparens” att krävas.

 

Relaterade sidor:

Certificate Transparency

The Chromium Projects > Root Certificate Policy > Removal of Trust

[JoWa]

Google Online Security Blog: Don’t mess with my browser!

 

Beskriver bl.a. Återställ webbläsarinställningarna

[JoWa]

Google Online Security Blog: Gradually sunsetting SHA-1

 

I maj skrev Adam Langley om övergången från SHA-1 till SHA-256: SHA-256 certificates are coming

 

Microsoft trycker också på, för både server- och kodsigneringscertifikat.

 

Varken Microsoft eller Google använder SHA-1 än (på de sidor jag har kollat). Google har dock en testsida med SHA-256: https://cert-test.sandbox.google.com/

 

Andra sidor med SHA-256 som signaturalgoritm:

• https://www.imperialviolet.org/
• https://sslanalyzer.comodoca.com/ (SHA-256 ECDSA)
• https://ssltest39.ssl.symclab.com/
• https://mega.co.nz/
• https://twitter.com/
• https://wordpress.com/
• https://www.ssllabs.com/

[JoWa]

Chrome 40 (Dev) klagar på Wikipedias certifikat, med signaturalgoritmen SHA-1, och en giltighetstid till 2016-01-20 (se förra inlägget).

 

 

Texten säger dock inte vad det gäller: ”This site is using outdated security settings that may prevent future versions of Chrome from being able to safely access it.”

 

Issue 401365: Deprecate SHA-1 for certificates

 

Ivan Ristić skrev om SHA-1 i september: SHA1 Deprecation: What You Need to Know

[JoWa]

Senaste bygget av Chrome 39 (beta) visar samma meddelande.

 

[JoWa]

Den 18–19 mars var årets Pwn2Own.
 
Pwn2Own 2015: The final contestants
Pwn2Own 2015: The lineup
Pwn2Own 2015: Day One results
Pwn2Own 2015: Day Two results
 
Sammanfattning:

The final numbers for Pwn2Own 2015 are quite impressive:

• 5 bugs in the Windows operating system
• 4 bugs in Internet Explorer 11
• 3 bugs in Mozilla Firefox
• 3 bugs in Adobe Reader
• 3 bugs in Adobe Flash
• 2 bugs in Apple Safari
• 1 bug in Google Chrome
• $557,500 USD bounty paid out to researchers

 

Den enda buggen i Chrome gav skaplig utdelning till JungHoon Lee (lokihardt):

Next, JungHoon Lee (lokihardt) demonstrated an exploit that affects both the stable and beta versions of Google Chrome. He leveraged a buffer overflow race condition in Chrome, then used an info leak and race condition in two Windows kernel drivers to get SYSTEM access. With all of this, lokihardt managed to get the single biggest payout of the competition, not to mention the single biggest payout in Pwn2Own history: $75,000 USD for the Chrome bug, an extra $25,000 for the privilege escalation to SYSTEM, and another $10,000 from Google for hitting the beta version for a grand total of $110,000. To put it another way, lokihardt earned roughly $916 a second for his two-minute demonstration. There are times when “Wow” just isn’t enough.

Som också har visats vid tidigare Pwn2Own, räcker det inte med en bugg i Chrome för en lyckad attack. Det krävs även en bugg i operativsystemet, i detta fall ”an info leak and race condition in two Windows kernel drivers”. Lyckligtvis räcker det att Chrome uppdateras för att denna attack skall stoppas; Microsoft lär inte få ut en uppdatering de närmsta dagarna…

 

Att JungHoon Lee tjänade 916 U$D per sekund under sin tvåminutersdemonstration låter häftigt, men han kom knappast oförberedd till Pwn2Own, utan uppvisningen föregicks förstås av omfattande arbete. Tvåtusen kodrader (sägs i videon) skriver man inte på två minuter.

 

Chrome (stabil, inte beta) och Firefox uppdaterades i går.

[e-son]

Man undrar ju vilka hack dom aldrig berättar om... 

[JoWa]

Säkerhetsbuggar i Chromium redovisas när de flesta användare har uppdaterat.

 

Listan för M41 är för närvarande mycket kort. Listan för M38 är betydligt längre (många buggar i PDF-visaren, fixade av Foxit).