Skocz do zawartości
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

W przeglądarce Chrome znaleziono dziurę zero-day

Rekomendowane odpowiedzi

Inżynierowie Google'a ostrzegają przed błędami w przeglądarce Chrome. Jeden z nich to dziura typu zero-day, jest zatem aktywnie wykorzystywana przez cyberprzestępców. Błędy znaleziono w Chrome dla wszystkich platform.

Google nie zdradza szczegółów najgroźniejszego błędu. Firma zapowiedziała, że poinformuje o nich dopiero, gdy błąd zostanie załatany przez większość użytkowników. Jeśli jednak okaże się, że dziura istnieje też w bibliotekach firm trzecich, to informacja na jej temat może zostać wstrzymana.

Luka zero-day została oznaczona jako CVE-2019-13720. Wiadomo jedynie, że jest ona podobna do innej znalezionej właśnie luki, CVE-2019-13721. Obie pozwalają na doprowadzenie do awarii podsystemu pamięci i przejęcia kontroli nad systemem. O ile jednak CVE-2019-13721 występuje w bibliotece PDFium, to CVE-2019-13720 to podatność w komponencie audio Chrome'a.

Wszystkie dziury mają zostać załatane w wersji 78.0.3904.87 Chrome'a dla systemów Windows, Mac i Linux.


« powrót do artykułu

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

jak to dobrze, że ja korzystam jednak z FIrefoxa. Nigdy nie miałem z nią problemu i raczej długo tego nie zmienię.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Ja również używam Firefoxa. Nie wiem co ludzie widzą w Chromie. U mnie działa on dużo szybciej od Chroma. Jednak trzeba mieć świadomość, że takie dziury mogą zdarzyć się wszędzie. Ważne, aby firma szybko reagowała na takie zdarzenia. Chrome już załatany. Na łatanie IE czekało się czasami miesiącami. Czy z Edge jest lepiej? Nie sądzę, ale przyznaję, że obecnie nie znam szczegółów.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Poprostu błedy znajdowane i wytykane są tym którzy posiadają największe udziały w rynku. Najbardziej opłaca się szukać błędów chroma bo najwięcej użytkowników z niego korzysta co daje największą ilość potencjalnych celów. Jak Firefox miał największe udziały w rynku, też co chwila było głośno o jego dziurach.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Chrome jest najlepszą przeglądarka na rynku jeżeli chodzi o bezpieczeństwo i wydajność JavaScript. Przynajmniej tak było 2-3 lata temu, jak ostatnio porównywałem. Firefox nie jest złą przeglądarką, ale zawsze musiał nadrabiać i był z tyłu, co nie dziwi, bo Chromium to projekt open-source, ale za Chrome stoi Google z praktycznie nieograniczonymi zasobami. Przykładowo wiele podatności XSS, które znalazłem i testowałem, nie działało w Chrome, bo były blokowane i musiałem je testować w Firefox :)

Sam FireFox też ma podatności i jest na mi oparty TOR, więc to podwójny cel. Ceny eksploitów na Chrome są najwyższe, bo jest najbezpieczniejsza, ma większy udział w rynku przeglądarek i zapotrzebowanie na podatności jest większe.

Po za tym, przeglądarka to jedno, ale są też dodatki typu PDFViewer, które można atakować tym samym kanałem.

Edytowane przez cyjanobakteria

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
W dniu 9.11.2019 o 19:31, cyjanobakteria napisał:

Firefox nie jest złą przeglądarką, ale zawsze musiał nadrabiać i był z tyłu, co nie dziwi, bo Chromium to projekt open-source,

Firefox też przecież jest Open Source.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
19 hours ago, wilk said:

Firefox też przecież jest Open Source.

No jest, ale zacytowałeś fragment zdania. Może powinienem to przeredagować :)

Oba projekty są open-source, ale za FF nie stoi firma z nieograniczonymi zasobami.

On 11/9/2019 at 6:31 PM, cyjanobakteria said:

Firefox nie jest złą przeglądarką, ale zawsze musiał nadrabiać i był z tyłu, co nie dziwi, bo Chromium to projekt open-source, ale za Chrome stoi Google z praktycznie nieograniczonymi zasobami.

 

Edytowane przez cyjanobakteria

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Podobna zawartość

    • przez KopalniaWiedzy.pl
      Rozwiązaniem problemu pomiędzy szybkością działania komputerów kwantowych a koherencją kubitów może być zastosowanie dziur, twierdzą australijscy naukowcy. To zaś może prowadzić do powstania kubitów nadających się do zastosowania w minikomputerach kwantowych.
      Jedną z metod stworzenia kubitu – kwantowego bitu – jest wykorzystanie spinu elektronu. Aby uczynić komputer kwantowy tak szybkim, jak to tylko możliwe, chcielibyśmy mieć możliwość manipulowania spinami wyłącznie za pomocą pola elektrycznego, dostarczanego za pomocą standardowych elektrod.
      Zwykle spiny nie reagują na pole elektryczne, jednak z niektórych materiałach spiny wchodzi w niebezpośrednie interakcje z polem elektrycznym. Mamy tutaj do czynienia z tzw. sprzężeniem spinowo-orbitalnym. Eksperci zajmujący się tym tematem obawiają się jednak, że gdy taka interakcja jest zbyt silna, wszelkie korzyści z tego zjawiska zostaną utracone, gdyż dojdzie do dekoherencji i utraty kwantowej informacji.
      Jeśli elektrony zaczynają wchodzić w interakcje z polami kwantowymi, które im aplikujemy w laboratorium, są też wystawione na niepożądane zmienne pola elektryczne, które istnieją w każdym materiale. Potocznie nazywamy to „szumem”. Ten szum może zniszczyć delikatną informację kwantową, mówi główny autor badań, profesor Dimi Culcer z Uniwersytetu Nowej Południowej Walii.
      Nasze badania pokazują jednak, że takie obawy są nieuzasadnione. Nasze teoretyczne badania wykazały, że problem można rozwiązać wykorzystując dziury – które można opisać jako brak elektronu – zachowujące się jak elektrony z ładunkiem dodatnim, wyjaśnia uczony.
      Dzięki wykorzystaniu dziur kwantowy bit może być odporny na fluktuacje pochodzące z tła. Co więcej, okazało się, że punkt, w którym kubit jest najmniej wrażliwy na taki szum, jest jednocześnie punktem, w którym działa on najszybciej. Z naszych badań wynika, że w każdym kwantowym bicie utworzonym z dziur istnieje taki punkt. Stanowi to podstawę do przeprowadzenia odpowiednich eksperymentów laboratoryjnych, dodaje profesor Culcer.
      Jeśli w laboratorium uda się osiągnąć te punkty, będzie można rozpocząć eksperymenty z utrzymywaniem kubitów najdłużej jak to możliwe. Będzie to też stanowiło punkt wyjścia do skalowania kubitów tak, by można było je stosować w minikomputerach.
      Wiele wskazuje na to, że takie eksperymenty mogą zakończyć się powodzeniem. Profesor Joe Salfi z University of British Columbia przypomina bowiem: Nasze niedawne eksperymenty z kubitami utworzonymi z dziur wykazały, że w ich wypadku czas koherencji jest dłuższy, niż się spodziewaliśmy. Teraz widzimy, że nasze obserwacje mają solidne podstawy teoretyczne. To bardzo dobry prognostyk na przyszłość.
      Praca Australijczyków została opublikowana na łamach npj Quantum Information.

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      Co najmniej 30 000 firm i organizacji w USA padło ofiarami ataków, które zostały przeprowadzone dzięki czterem nowo odkrytym dziurom w oprogramowaniu do poczty elektronicznej microsoftowego Exchange Servera. Jak poinformował ekspert ds. bezpieczeństwa, Brian Krebs, chińscy cyberprzestępcy zarazili sieci setki tysięcy organizacji narzędziami,które dają napastnikowi całkowity zdalny dostęp do zarażonych systemów.
      Microsoft opublikował poprawki 2 marca i zachęca użytkowników Exchange Servera do ich pilnego zainstalowania. Jednocześnie jednak firma poinformowała, że pojawienie się poprawek sprowokowało chińskich cyberprzestępców – grupę, której nadano nazwę „Hafnium” – do zintensyfikowania ataków na niezałatane instalacje Exchange Servera. Eksperci ostrzegają, że przestępcy wciąż mają dostęp do serwerów zhakowanych przed zainstalowaniem łatek. Łatanie nie działa, jeśli serwery już wcześniej zostały skompromitowane. Ci, którzy wykorzystują  powinni sprawdzić, czy nie padli ofiarami ataku, oświadczył amerykański National Security Council. Brian Krebs Dodaje, że użytkownicy Outlook Web Access serwera powinni sprawdzić okres pomiędzy 26 lutego a 3 marca. To właśnie w tym czasie mogło dojść do ataków. Zaniepokojenie problemem i rosnącą liczbą ofiar wyraził też Biały Dom.
      Nowo odkryte błędy pozwalają przestępcom na zdalne wykonanie kodu. Do przeprowadzenia pierwszego ataku konieczna jest możliwość ustanowienia niezabezpieczonego połączenia z portem 443 Exchange Servera, informuje Microsoft. Wspomniane błędy odkryto w oprogramowaniu Exchange Server 2013, 2016 i 2019.
      Chińska grupa Hafnium, która przeprowadza wspomniane ataki najpierw wykorzystuje dziury typu zero-day lub ukradzione hasła, by dostać się do atakowanego systemu. Następnie instalowana jest tam powłoka, dająca przestępcom zdalny dostęp. Później system jest stopniowo infiltrowany i kradzione są z niego dane.
      Chiński rząd zapewnił, że nie stoi za atakami.

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      Apple opublikował poprawki dla trzech dziur zero-day w systemach operacyjnych iPhone'a, iPada oraz Apple TV. Dziury znajdujące się w iOS, iPadOS oraz tvOS były aktywnie wykorzystywane przez cyberprzestępców. Poprawiono je wraz z wersjami 14.4 wszystkich wspomnianych systemów.
      Luka CVE-2021-1782 pozwalała złośliwym aplikacjom na zwiększenie uprawnienie. To dziura typu race condition. Takie luki występują, gdy program dopuszcza wykonanie wielu operacji jednocześnie, a wynik zależy od właściwej kolejności ich wykonywania. Przestępcy, zaburzając tę kolejność, mogą wywołać pojawienie się błędu i go wykorzystać.
      Z kolei CVE-2021-1871 i CVE-2021-1870 występują w silniku przeglądarki WebKit dla iPadOS-a oraz iOS-a. Dziury pozwalają napastnikowi na wykonanie dowolnego kodu.
      Dziury występują w urządzeniach iPhone 6s i nowszych, iPad Air 2 i nowych, iPad mini 4 i nowszych, iPod touch 7. generacji, Apple TV 4K oraz Apple TV HD. Producent odmówił podania informacji, jak wiele urządzeń padło ofiarą cyberprzestępców.

      « powrót do artykułu
  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...