Arhiva za ‘sandbox’ tag
Sergej Glazunov uspeo da hakira Chrome prvog dana Google Pwn2Own takmičenja
Tokom Google Pwinium takmičenja koje se održava na CanSecWest konferenciji o bezbednosti u sredu u Vankuveru, ruski lovac na softverske propuste Sergej Glazunov demonstrirao je kako je iskoristio propust Chrome preglednika i u potpunosti porazio toliko hvaljeni Chrome Sandbox.
Google Chrome je smatran jednim od najbezbedijih Web preglednika baš zbog svoje bezbednosne sandbox arhitekture, koja uvodi ograničenja u interakciji sa operativnim sistemom i značajno ograničava šta napadač može da uradi ako se iskoristi neku od ranjivosti preglednika.
Ovogodišnji Pwnium ima nagradni fond od milion dolara. Nagrađuju se svi oni koj iskoriste neku vrstu propusta u Chrome-u. Najveća nagrada je 60.000 dolara i dodeljuje se onima koji demonstriraju ranjivost samog Google Chrome koda.
Prvi koji će zaraditi glavnu nagradu je Sergej Glazunov koji je tokom prvog dana takmičenja demonstrirao ranjivost i u potpunosti aobišao Chrome Sandbox.
Google Chrome tim je potvrdio ovu ranjivost čestitajući Sergej Glazunovu kao prvom koji je osvojio glavnu nagradu.
Sergej Glazunov nije jedini koji je probio Chrome na Pwn2Own takmičenju, tim istraživača iz Francuske sigurnosne kompanije VUPEN takođe je uspeo u tome. Ranjivost je iskorištava dve greške, jednu da zaobiđe DEP (Data Execution Prevention) i ASLR (address space layout randomization) na Windows OS, koje su dizajnirane za sprečavanje izvršenja zlonamjernog koda čak i onda kada se ranjivost pronađe i drugu za zaobilaženje Chrome Sandbox. Kompanija nije otkrila druge pojedinosti osim da je ranjivost pronađena u "default-noj" instalaciji Google preglednika pa stoga Chrome tim za sada sumnja da je VUPEN iskoristio ranjivost u Flash Player plug-in koji dolazi sa pretraživačem.
Ako se to pokaže kao tačno kompanija će za to dobiti samo utešnu nagradu od 20.000 dolara.
Takmičenje traje do petka tako da ostaje da se vidi da li će se pojaviti još neko ko će da konkureiše za osvajanje glavne nagrade.
Njemačka državna agencija za cyber sigurnost preporučuje Chrome kao najsigurniji preglednik
Njemačka agencija za cyber sigurnost preporučila je korisnicima Windows 7 da koriste Google Chrome preglednik, navodeći da se radi o najboljem pregledniku a kao razlog za to naveli su njegov sandbox i auto-update značajku.
Njemački Savezni Ured za Informacijsku Sigurnost istakao je Chrome-ovu anti-exploit sandbox tehnologiju, koja izolira preglednik od operativnog sustava i ostataka računala, kao i njegov menanizam tihog update-a, uz integraciju Adobe Flash-a, kao svoje razloge za preporuku Google Chrome-a kao najboljeg preglednika.
Vaš Internet preglednik je ključna komponenta u korištenju usluge na web-u, pa je to razlog zašto je on primarni cilj u cyber-napadima. Korištenjem Google Chrome-a u kombinaciji sa drugim mjerama sigurnosti, možete značajno smanjiti rizik da postanete žrtva ovih napada. Sandbox zaštita najdosljednije radi u Chrome-u a slični mehanizmi u drugim preglednicima trenutno su ili dosta slabiji ili ne postoje,
navodeo je Njemački Savezni Ured za Informacijsku Sigurnost.
Za razliku od SAD-a, gdje korisnici Windows 7 po automatizmu imaju IE kao zadani preglednik, u Europi se pri pokretanju Windows-a prikazuje zaslon koji korisnicima omogućuje da odaberu koji preglednik žele postaviti kao zadani, a ako je potrebno, preuzeti ga i instalirati.
Ovaj proces izbora zadanog preglednika je rezultat dogovora koji je kompanija Microsoft postigla sa Europskim regulatorima 2009 godine. Inače, dogovor je posljedica žalbe koju je podnijela kompanija Opera Software navodeći da Windows sa IE kao već zadanim Internet preglednikom guši konkurenciju.
Nije loše znati da Njemački Savezni Ured za Informacijsku Sigurnost također preporuča Adobe Reader X, verziju popularnog PDF čitača koji se poput Chrome-a oslanja na sandbox kako bi zaštitio korisnike od potencijalnog iskorištenja ranjivosti.
Trenutno, na globalnom nivou udio Internet preglednika izgleda ovako: Microsoft Internet Explorer 37,5%, Google Chrome-a 28,4% a Mozilla Firefoxa 24,8%.
Adobe Reader X sljedeći mjesec dostupan za preuzimanje
Po nekim najama, Adobe Systems bi danas trebao da objavi sljedeću inačicu svog softvera Acrobat, pod nazivom Adobe Acrobat X.
Softver će uključivati besplatan PDF (Portable Document Format) softver za pregled Adobe Reader X, koji se očekuje da će biti dostupan za preuzimanje u roku od 30 dana.
Nova verzija programa Adobe Reader koristi sandboxing sigurnosnu tehnologiju dizajniranu da doda dodatni sloj zaštite koji štiti od napada koji ciljaju popularni PDF preglednik. Adobe Reader Protected Mode će biti omogućen po defaultu i uključen u Adobe Reader browser plug-ins za sve glavne browser-e. Sandbox mehanizam će zadržati PDF obrade, kao što su JavaScript izvršenje, 3D renderiranje i parsiranje slika, za ograničeno područje i spriječiti aplikacije da instaliraju ili brišu datoteka, modificiraju informacijski sustav ili pristupaju procesima.
Microsoft koristi sandboxing tehnike u Office 2010 Protected View i Office 2007 a Google ih koristi u Chrome-u.