Chromium - säkerhet

[JoWa]

A look back at Pwn2Own 2015

When planning for this year’s Pwn2Own competition, we made a crucial decision – to include Microsoft’s Enhanced Mitigation Experience Toolkit (EMET) on all Windows targets. This was an optional target in 2014 as part of the “unicorn” prize, but no one decided to give it a try. We made it mandatory. We added a $25,000 bonus for achieving SYSTEM-level code execution. We targeted 64-bit browsers with Enhanced Protected Mode (EPM) enabled. In short, the difficulty level significantly increased this year.

Intressant att alla attackerade program knäcktes trots användning av EMET.

 

För Chromium tillför dock inte EMET så mycket, om det attackerande programmet är berett på att EMET används, se Chromium and EMET.

[e-son]

Tror inte det spelar någon roll vad du använder för skydd... sårbarheter finns alltid i all kod. Dock höjer ju EMET ribban väsentligt, och minskar antalet kapabla angripare.

[.RIHTT]

A look back at Pwn2Own 2015

Intressant att alla attackerade program knäcktes trots användning av EMET.

 

För Chromium tillför dock inte EMET så mycket, om det attackerande programmet är berett på att EMET används, se Chromium and EMET.

 

 

Tror inte det spelar någon roll vad du använder för skydd... sårbarheter finns alltid i all kod. Dock höjer ju EMET ribban väsentligt, och minskar antalet kapabla angripare.

Provade EMET, men får väl erkänna det var lite avancerat för mig som hemmafixare....

Det blockerade i princip allt.

I nuläget kör jag alltid:

skarp Windows värd  >  virtuell dator  >   SRware Iron  med allehanda adblock/ghostery/säkerhetstillägg

(Kommer evt komplettera med installera Freedome VPN )

[JoWa]

Google Online Security Blog: Gradually sunsetting SHA-1

 

I maj skrev Adam Langley om övergången från SHA-1 till SHA-256: SHA-256 certificates are coming

I Chrome 43.0.2357.37 är informationen tydligare. Nu står det att ”signaturer med SHA-1” är problemet.

 

 

Bilden visar också en annan (tidigare) förändring. Istället för t.ex. 128 bitars kryptering eller 256 bitars kryptering står det nu att ”modern” eller ”gammal” kryptografi används. Anledningen är att informationen kunde förvirra användare. T.ex. stod det 256 bitars kryptering då AES_256_CBC användes och 128 bitars kryptering då AES_128_GCM. Genom att framhäva nyckelstorleken fick användare intrycket att AES_256_CBC vore säkrare än AES_128_GCM, men medan AES_CBC är sårbart, och en större nyckel gör inget för att minska det, har AES_GCM inga kända svagheter. Den gamla informationen fick också RC4 att se ut att vara lika säkert som AES_128_GCM, vilket verkligen inte är fallet. Därför står det nu gammal kryptografi då t.ex. AES_CBC (oavsett nyckelstorlek), RC4, 3DES används. För modern kryptografi krävs AES_GCM eller ChaCha20 (som förutsätter TLS 1.2) och efemärt nyckelutbyte (DHE_RSA, ECDHE_RSA, ECDHE_ECDSA). Exempel på ”gammal kryptografi” med AES_GCM: https://registerhack.se/

 

[JoWa]

Sedan Chrome lanserades har Windows utvecklats, och Chromiums sandlåda har utvecklats för att utnyttja nya säkerhetsfunktioner i nya Windows-versioner. Här är en sammanfattning av vad sandlådan består av:

• A restricted token
• The Windows job object
• The Windows desktop object
• Windows Vista and above: The integrity levels
• Windows 8 and above: Win32k lockdown process mitigation
• Windows 8 and above: App Container (low box token)

Listan är tagen från detta dokument, som nyss har uppdaterats.

 

I avsnittet om integritetsnivåer framgår det inte klart vilken nivå Chromiums renderare körs på. Det kan man dock lätt se med Process Explorer, som visar att renderarna (flikprocesserna) körs på obetrodd nivå, och att GPU-processen körs på låg nivå. Då Chrome lanserades kördes renderarna på låg nivå, samma nivå som IE:s renderare.

 

Behovet av Win32k lockdown beskrevs i ett blogginlägg: In-Console-Able

 

App Container spelar en mindre roll i Chromiums sandlåda än för Microsoft Edge och andra ”Universal Windows appar”.

 

Det alternativa skrivbordet (skrivbordsobjektet) behövs endast på XP, som saknar integritetsnivåer, och ökar minnesanvändningen, så jag håller inte för omöjligt att det kommer att tas bort när Chrome för XP inte längre uppdateras, d.v.s. någon gång nästa år.

 

En annan säkerhetsförbättrande förändring är Chrome 64-bit för Windows 7 och senare.

 

Att inaktivera NPAPI förbättrar också säkerheten, då insticksprogram som inte körs i en sandlåda är en svag punkt som lätt kan utnyttjas.

 

Nu får utvecklarna dock ta i tu med Logjam.

[JoWa]

Pwn2Own 2016 pågår. I går gjorde 360Vulcan Team ett delvis lyckat försök att knäcka Chrome: ”360Vulcan Team was back targeting Google Chrome in their second attempt of the day. This time, they ran into a bug collision which resulted in a partial win. Their out-of-bounds access bug in Chrome was known to the vendor, but that bug plus three additional UAFs [use after free] netted them another $52,500 USD”.

 

Se även Pwn2Own 2016: The lineup and schedule

[JoWa]

Andra försöket att knäcka Chrome misslyckades, medan Edge åkte på smörj. Pwn2Own 2016: Day two – crowning the Master of Pwn
 

The final numbers are quite impressive:

• 6 bugs in the Windows operating system
• 5 bug in the OS X operation system
• 4 bugs in Adobe Flash
• 3 bugs in Apple Safari
• 2 bugs in Microsoft Edge
• 1 bug in Google Chrome (duplicate of a previously submitted bug)
• $460,000 USD bounty paid out to researchers