Jump to content
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

W przeglądarce Chrome znaleziono dziurę zero-day

Recommended Posts

Inżynierowie Google'a ostrzegają przed błędami w przeglądarce Chrome. Jeden z nich to dziura typu zero-day, jest zatem aktywnie wykorzystywana przez cyberprzestępców. Błędy znaleziono w Chrome dla wszystkich platform.

Google nie zdradza szczegółów najgroźniejszego błędu. Firma zapowiedziała, że poinformuje o nich dopiero, gdy błąd zostanie załatany przez większość użytkowników. Jeśli jednak okaże się, że dziura istnieje też w bibliotekach firm trzecich, to informacja na jej temat może zostać wstrzymana.

Luka zero-day została oznaczona jako CVE-2019-13720. Wiadomo jedynie, że jest ona podobna do innej znalezionej właśnie luki, CVE-2019-13721. Obie pozwalają na doprowadzenie do awarii podsystemu pamięci i przejęcia kontroli nad systemem. O ile jednak CVE-2019-13721 występuje w bibliotece PDFium, to CVE-2019-13720 to podatność w komponencie audio Chrome'a.

Wszystkie dziury mają zostać załatane w wersji 78.0.3904.87 Chrome'a dla systemów Windows, Mac i Linux.


« powrót do artykułu

Share this post


Link to post
Share on other sites

jak to dobrze, że ja korzystam jednak z FIrefoxa. Nigdy nie miałem z nią problemu i raczej długo tego nie zmienię.

Share this post


Link to post
Share on other sites

Ja również używam Firefoxa. Nie wiem co ludzie widzą w Chromie. U mnie działa on dużo szybciej od Chroma. Jednak trzeba mieć świadomość, że takie dziury mogą zdarzyć się wszędzie. Ważne, aby firma szybko reagowała na takie zdarzenia. Chrome już załatany. Na łatanie IE czekało się czasami miesiącami. Czy z Edge jest lepiej? Nie sądzę, ale przyznaję, że obecnie nie znam szczegółów.

Share this post


Link to post
Share on other sites

Poprostu błedy znajdowane i wytykane są tym którzy posiadają największe udziały w rynku. Najbardziej opłaca się szukać błędów chroma bo najwięcej użytkowników z niego korzysta co daje największą ilość potencjalnych celów. Jak Firefox miał największe udziały w rynku, też co chwila było głośno o jego dziurach.

Share this post


Link to post
Share on other sites

Chrome jest najlepszą przeglądarka na rynku jeżeli chodzi o bezpieczeństwo i wydajność JavaScript. Przynajmniej tak było 2-3 lata temu, jak ostatnio porównywałem. Firefox nie jest złą przeglądarką, ale zawsze musiał nadrabiać i był z tyłu, co nie dziwi, bo Chromium to projekt open-source, ale za Chrome stoi Google z praktycznie nieograniczonymi zasobami. Przykładowo wiele podatności XSS, które znalazłem i testowałem, nie działało w Chrome, bo były blokowane i musiałem je testować w Firefox :)

Sam FireFox też ma podatności i jest na mi oparty TOR, więc to podwójny cel. Ceny eksploitów na Chrome są najwyższe, bo jest najbezpieczniejsza, ma większy udział w rynku przeglądarek i zapotrzebowanie na podatności jest większe.

Po za tym, przeglądarka to jedno, ale są też dodatki typu PDFViewer, które można atakować tym samym kanałem.

Edited by cyjanobakteria

Share this post


Link to post
Share on other sites
W dniu 9.11.2019 o 19:31, cyjanobakteria napisał:

Firefox nie jest złą przeglądarką, ale zawsze musiał nadrabiać i był z tyłu, co nie dziwi, bo Chromium to projekt open-source,

Firefox też przecież jest Open Source.

Share this post


Link to post
Share on other sites
19 hours ago, wilk said:

Firefox też przecież jest Open Source.

No jest, ale zacytowałeś fragment zdania. Może powinienem to przeredagować :)

Oba projekty są open-source, ale za FF nie stoi firma z nieograniczonymi zasobami.

On 11/9/2019 at 6:31 PM, cyjanobakteria said:

Firefox nie jest złą przeglądarką, ale zawsze musiał nadrabiać i był z tyłu, co nie dziwi, bo Chromium to projekt open-source, ale za Chrome stoi Google z praktycznie nieograniczonymi zasobami.

 

Edited by cyjanobakteria

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Similar Content

    • By KopalniaWiedzy.pl
      W chipsetach Intela używanych od ostatnich pięciu lat istnieje dziura, która pozwala cyberprzestępcom na ominięcie zabezpieczeń i zainstalowanie szkodliwego kodu takiego jak keyloggery. Co gorsza, luki nie można całkowicie załatać.
      Jak poinformowała firma Positive Technologies, błąd jest zakodowany w pamięci ROM, z której komputer pobiera dane podczas startu. Występuje on na poziomie sprzętowym, nie można go usunąć. Pozwala za to na przeprowadzenie niezauważalnego ataku, na który narażone są miliony urządzeń.
      Na szczęście możliwości napastnika są dość mocno ograniczone. Przeprowadzenie skutecznego ataku wymaga bowiem bezpośredniego dostępu do komputera lub sieci lokalnej, w której się on znajduje. Ponadto przeszkodę stanowi też klucz kryptograficzny wewnątrz programowalnej pamięci OTP (one-time programable). Jednak jednostka inicjująca klucz szyfrujący jest również podatna na atak.
      Problem jest poważny, szczególnie zaś dotyczy przedsiębiorstw, które mogą być przez niego narażone na szpiegostwo przemysłowe. Jako, że błąd w ROM pozwala na przejęcie kontroli zanim jeszcze zabezpieczony zostanie sprzętowy mechanizm generowania klucza kryptograficznego i jako, że błędu tego nie można naprawić, sądzimy, że zdobycie tego klucza jest tylko kwestią czasu, stwierdzili przedstawiciele Positive Technologies.
      Błąd występuję w chipsetach Intela sprzedawanych w przeciągu ostatnich 5 lat. Wyjątkiem są najnowsze chipsety 10. generacji, w której został on poprawiony.
      Intel dowiedział się o dziurze jesienią ubiegłego roku. Przed kilkoma dniami firma opublikowała poprawkę, która rozwiązuje problem. Firma przyznaje, że programowe naprawienie dziury jest niemożliwe. Dlatego też poprawka działa poprzez poddanie kwarantannie wszystkich potencjalnych celów ataku.
      Dziura znajduje się w Converged Security Management Engine (CSME), który jest odpowiedzialny za bezpieczeństwo firmware'u we wszystkich maszynach wykorzystujących sprzęt Intela.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      W sterownikach graficznych Nvidii znaleziono liczne dziury, które umożliwiają przeprowadzenie DoS (denial of service), wykonanie złośliwego kodu oraz inne rodzaje ataków. Nvidia wydala już odpowiednie poprawki, które należy jak najszybciej zainstalować.
      Dziury występują przede wszystkim w sterownikach do procesorów GeForce, Quadro i Tesla dla systemu Windows.
      Najpoważniejsza dziura znajduje się w panelu sterowania grafiki, elemencie umożliwiającym użytkownikowi zmianę ustawień GPU. Nvidia informuje, że napastnik z lokalnym dostępem może doprowadzić do awarii systemu plików panelu sterowania, co pozwala mu albo na przeprowadzenie ataku DoS, albo na zwiększenie uprawnień. Lukę tę (CVE-2020-5957) oceniono na 8,4 w 10-stopniowej skali zagrożeń CVSS.
      Kolejna dziura (CVE-2020-5958), uznana za średnio poważną, również występuje w panelu kontrolnym. Użytkownik z dostępem lokalnym może dzięki niej zainstalować zmanipulowany plik DLL, dzięki czemu może przeprowadzić atak DOS, zyskać uprawnienia do wykonywania kodu, odczytania zastrzeżonych informacji.
      Obie dziury zostały załatane. Na poprawki czeka jeszcze wersja R440 dla procesora Tesla. Zostaną one udostępnione w przyszłym tygodniu.
      Liczne dziury znaleziono też w Virtual GPU Manager. To oprogramowanie pozwalające wielu wirtualnym maszynom na jednoczesny dostęp do tego samego procesora graficznego. Tutaj najpoważniejsza dziura (CVE-2020-5959) spowodowana jest nieprawidłową weryfikacją danych wejściowych, co pozwala na przeprowadzenie ataku DoS. Lukę tę oceniono na 7,8 w skali CVSS. Druga z luk występująca w tym oprogramowaniu, CVE-2020-5960, została oceniona jako średnio poważna. Również ona umożliwia DoS.
      Poprawione wersje sterowników można pobrać na stronie Nvidii.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Badacze z Singapuru poinformowali o zidentyfikowaniu luk w ponad 480 urządzeniach Bluetooth w tym bransoletkach do fitnessu, urządzeniach medycznych czy urządzeniach z gatunku "smart home". Błędy znaleziono w SKD Bluetooth Low Energy (BLE) mogą zostać wykorzystane do wywołania awarii lub uzyskania przez napastnika prawa do odczytu i zapisu danych.
      Zestaw 12 dziur, nazwany przez badaczy Sweyntooth, występuje w urządzeniach wielu dużych producentów, takich jak Texas Instruments, Dialog Semiconductors, STMicroelectronics, Microchip, NXP, Cypress czy Telink Semiconductor.
      Naukowcyz Singapore University of Technology and Design donoszą, że błędy występują m.in. w smartwatchach Fitbit Inspire, urządzeniach Eve Systems, August Smart Lock, CubiTag, eGee Touch i wielu innych.
      Badacze już poinformowali producentów urządzeń, a wielu z nich przygotowało odpowiednie poprawki. Część urządzeń instaluje je samodzielnie, problem jednak w tym, że nie wszystkie. Głównym wyzwaniem będzie upewnienie się, że osoby, które powinny ręcznie zaktualizować swoje oprogramowanie, rzeczywiście to zrobiły. Pocieszeniem może być fakt, że ataku na wspomniane dziury nie da się dokonać za pośrednictwem internetu. Napastnik musi znajdować się w bezpośrednim sąsiedztwie atakowanego urządzenia.
      Jednak największym zmartwieniem naukowców są urządzenia medyczne. Ataky można bowiem dokonać na rozruszniki serca, monitory poziomu glukozy oraz urządzenia aplikujące leki. Tymczasem dziury pozwalają na doprowadzenie do ich awarii, wymuszenie restartu i zablokowanie ich czy przyjęcie nad nimi kontroli. Ten ostatni sposób ataku stanowi dla chorych najwieksze zagrożenie.

      « powrót do artykułu
×
×
  • Create New...