Gå till innehåll

Chromium - säkerhet


Recommended Posts

Länk till kommentar
Dela på andra webbplatser

  • Svar 56
  • Skapat
  • Senaste svar

Toppostare i den här tråden

Toppostare i den här tråden

Bilder i tråden

Microsofts rubrik är rätt missvisande. Att Microsofts SmartScreen detekterade fler skadliga sidor än Googles Safe Browsing, gör inte IE säkrare än Chrome. Men visst, det hjälper i större utsträckning användarna att undvika kända skadliga sidor. Om/hur Safe Browsing kommer att påverkas av att Google nyss köpte VirusTotal blir intressant att se.

Det finns dock även ”riktiga” säkerhetsfunktioner i IE. Redan IE7 i Vista använde de då nya integritetsnivåerna för att skapa en enkel sandlåda. Men så vitt jag vet är det endast Chromium som använder den lägsta integritetsnivån obetrodd.

Vid Pwn2Own i våras lyckades Vupen ta sig ut ur Chromes sandlåda genom att utnyttja ett hål i Flash Player. Det skulle inte lyckas i dag, med den mycket säkrare PepperFlash i Chrome. Även vårens Pwnium (se tidigare inlägg i denna tråd) ledde till att sårbarheter hittades, och fixades inom 24 timmar. De som ställer upp i Pwnium 2 om en månad har en betydligt svårare uppgift än i våras.

Redigerad av JoWa
Länk till kommentar
Dela på andra webbplatser

  • 3 veckor senare...
  • 2 veckor senare...
  • 1 månad senare...

NSS Labs har testat vilken webbläsare som blockerar flest skadliga sidor.

Internet Explorer 10 was the only tested browser that does not use the Google SafeBrowsing API and had a mean block rate of 92%. For products using the SafeBrowsing API, Chrome 21 had a mean block rate of 94%, Safari 5 achieved a mean block rate of 90%, and Firefox 15 had a mean block rate of 90%.

Källa (pdf): https://www.nsslabs....er_Phishing.pdf

Glädjande att Googles SafeBrowsing nu är i klass med Microsofts SmartScreen. Att SafeBrowsing är ett öppet API, som andra kan använda, och använder, gör det inte mindre glädjande.

Länk till kommentar
Dela på andra webbplatser

  • 1 månad senare...

Justin Schuh om skillnaden mellan Chrome för XP och Chrome för Vista och senare:

 

I'm one of the lead devs on the Chrome Windows sandbox, and I can assure you that what we do with Vista+ on the security front is leaps and bounds ahead of what we're stuck with on XP. DEP is unreliable and pretty worthless anyway without ASLR. You also don't have things like SEHOP or other memory mitigations that are the first line of defense between your system and the average stale pointer exploit against WebKit.

As for the sandbox itself, we run as "Untrusted" integrity level under Vista+, which buys a solid layer of defense on top the SID, rights, and job based sandboxing we do on XP. Our GPU process sandbox in particular (used for accelerated graphics) relies heavily on Vista+ integrity levels due to deficiencies in the Windows XP driver and graphics model. Then there's the fact that XP is lacking hundreds of security fixes that Microsoft has chosen not to backport.
Seriously, I've spent many weeks trying to wring every last bit of security I can out of XP, and I really do think that Chrome does the best anyone possibly could on that front. But in the end XP is just an OS that's far past its security expiration date, and running it at all means taking a big risk.

https://news.ycombinator.com/item?id=4860203

Länk till kommentar
Dela på andra webbplatser

  • 1 månad senare...
Postad (redigerade)

Framgång för MWR Labs vid årets Pwn2Own. De lyckades bryta sig ut ur Chromes sandlåda. De utnyttjade bl.a. en sårbarhet i Windows-kärnan (Windows 7 64-bit, helt uppdaterat system). Ovanpå en sårbar kärna är det omöjligt att skapa helt säkra program. Filtrering av systemanrop, som Chrome för Linux använder (Seccomp-BPF) hade kanske omöjliggjort utbrytningen.

 

Läs mer här: https://labs.mwrinfosecurity.com/blog/2013/03/06/pwn2own-at-cansecwest-2013/

Redigerad av JoWa
Länk till kommentar
Dela på andra webbplatser

Fler resultat från Pwn2Own, onsdag:

  • 1:30 - Java (James Forshaw) PWNED
  • 2:30 - Java (Joshua Drake) PWNED
  • 3:30 - IE 10 (VUPEN Security) PWNED
  • 4:30 - Chrome (Nils & Jon) PWNED
  • 5:30 - Firefox (VUPEN Security) PWNED
  • 5:31 - Java (VUPEN Security) PWNED
 
Heja Java! :P
Länk till kommentar
Dela på andra webbplatser

  • 2 veckor senare...
  • 4 månader senare...
  • 2 veckor senare...

Från och med någon gång i början av 2014, kommer Chromium inte längre att betrakta certifikat med en giltighetstid längre än 60 månader som giltiga. Detta meddelades i CA/Browser Forums e-postlista: Deprecating support for long-lived certificates

 

Mozilla svarade att de överväger att göra sammalunda: Reject certificates with lifetimes greater than 60 months

Länk till kommentar
Dela på andra webbplatser

  • 1 månad senare...
Fler kommande förändringar av Chromes certifikathantering har meddelats: [cabfpub] Upcoming changes to Google Chrome's certificate handling

 

Bl.a. kommer Chrome att kräva att RSA-nyckellängden är minst 2048 bit. För EV-certifikat (Ectended Validation) kommer ”certifikattransparens” att krävas.

 

Relaterade sidor:



Länk till kommentar
Dela på andra webbplatser

  • 1 månad senare...
  • 10 månader senare...

Google Online Security Blog: Gradually sunsetting SHA-1

 

I maj skrev Adam Langley om övergången från SHA-1 till SHA-256: SHA-256 certificates are coming

 

Microsoft trycker också på, för både server- och kodsigneringscertifikat.

 

Varken Microsoft eller Google använder SHA-1 än (på de sidor jag har kollat). Google har dock en testsida med SHA-256: https://cert-test.sandbox.google.com/

 

Andra sidor med SHA-256 som signaturalgoritm:

Länk till kommentar
Dela på andra webbplatser

  • 1 månad senare...

Chrome 40 (Dev) klagar på Wikipedias certifikat, med signaturalgoritmen SHA-1, och en giltighetstid till 2016-01-20 (se förra inlägget).

 

post-7701-0-30429500-1413956127.png

 

Texten säger dock inte vad det gäller: ”This site is using outdated security settings that may prevent future versions of Chrome from being able to safely access it.”

 

Issue 401365: Deprecate SHA-1 for certificates

 

Ivan Ristić skrev om SHA-1 i september: SHA1 Deprecation: What You Need to Know

Länk till kommentar
Dela på andra webbplatser

  • 4 månader senare...

Den 18–19 mars var årets Pwn2Own.
 
Pwn2Own 2015: The final contestants
Pwn2Own 2015: The lineup
Pwn2Own 2015: Day One results
Pwn2Own 2015: Day Two results
 
Sammanfattning:

The final numbers for Pwn2Own 2015 are quite impressive:

  • 5 bugs in the Windows operating system
  • 4 bugs in Internet Explorer 11
  • 3 bugs in Mozilla Firefox
  • 3 bugs in Adobe Reader
  • 3 bugs in Adobe Flash
  • 2 bugs in Apple Safari
  • 1 bug in Google Chrome
  • $557,500 USD bounty paid out to researchers

 

Den enda buggen i Chrome gav skaplig utdelning till JungHoon Lee (lokihardt):

Next, JungHoon Lee (lokihardt) demonstrated an exploit that affects both the stable and beta versions of Google Chrome. He leveraged a buffer overflow race condition in Chrome, then used an info leak and race condition in two Windows kernel drivers to get SYSTEM access. With all of this, lokihardt managed to get the single biggest payout of the competition, not to mention the single biggest payout in Pwn2Own history: $75,000 USD for the Chrome bug, an extra $25,000 for the privilege escalation to SYSTEM, and another $10,000 from Google for hitting the beta version for a grand total of $110,000. To put it another way, lokihardt earned roughly $916 a second for his two-minute demonstration. There are times when “Wow” just isn’t enough.

Som också har visats vid tidigare Pwn2Own, räcker det inte med en bugg i Chrome för en lyckad attack. Det krävs även en bugg i operativsystemet, i detta fall ”an info leak and race condition in two Windows kernel drivers”. Lyckligtvis räcker det att Chrome uppdateras för att denna attack skall stoppas; Microsoft lär inte få ut en uppdatering de närmsta dagarna…

 

Att JungHoon Lee tjänade 916 U$D per sekund under sin tvåminutersdemonstration låter häftigt, men han kom knappast oförberedd till Pwn2Own, utan uppvisningen föregicks förstås av omfattande arbete. Tvåtusen kodrader (sägs i videon) skriver man inte på två minuter.

 

Chrome (stabil, inte beta) och Firefox uppdaterades i går.

Länk till kommentar
Dela på andra webbplatser

Delta i dialogen

Du kan skriva svaret nu och registrera dig senare, Om du har ett konto, logga in nu för att svara på inlägget.

Gäst
Svara i detta ämne...

×   Du har klistrat in innehåll med formatering.   Ta bort formatering

  Only 75 emoji are allowed.

×   Din länk har automatiskt bäddats in.   Visa som länk istället

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Skapa nytt...