neprihlásený Sobota, 18. novembra 2017, dnes má meniny Eugen   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Microsoft si zgustol na Google, rozpitval zraniteľnosť v Chrome a upozornil na fatálne zlyhanie

Značky: bezpečnosťChromeMicrosoftGoogle

DSL.sk, 19.10.2017


Spoločnosť Google zamestnáva tím bezpečnostných expertov Google Project Zero, ktorý hľadá bezpečnostné chyby aj v produktoch iných firiem a často využíva príležitosť poukazovať na chyby vo Windows aj nedostatočný prístup Microsoftu k bezpečnosti.

Okrem iného v poslednom čase viackrát informácie o zraniteľnostiach zverejnil skôr ako ich Microsoft opravil s poukázaním na to, že Microsoftu opravenie trvalo príliš dlho a prekročil lehotu danú mu expertami.

Teraz ale dostal príležitosť opačne Microsoft poukázať na bezpečnostné nedostatky Chrome a Google a naplno ju využil.

Po objavení jednej vážnej zraniteľnosti v prehliadači Chrome zverejnil jeho podobný tím Microsoft Offensive Security Research siahodlý text jednak analyzujúci zraniteľnosť a cestu k jej zneužitiu tak poukazujúci na nedostatky Chrome a Google.

Microsoft konkrétne identifikoval chybu použitia neinicializovanej premennej v kóde generovanom Javascript enginom V8, ktorá viedla až ku spustenie útočníkom zvoleného kódu len po návšteve stránky kontrolovanej útočníkom.

Pri popise snahy využiť chybu na dosiahnutie spustenia kódu Microsoft vysvetľuje o čo je lepší jeho Edge, v ktorom by podobne priamočiaro nebolo možné dosiahnuť spustenie zvoleného kódu vďaka využívaniu bezpečnostných technológií Control Flow Guard a Arbitrary Code Guard ponúkaných vo Windows.

Prehliadač Chrome využíva intenzívne izolovanie procesov, pri ktorom je proces renderujúci webovú stránku s minimálnymi potrebnými právami pre jeho funkčnosť a kód v ňom bežiaci nevie infikovať počítač. K spusteniu kódu v Chrome po zneužití Microsoftom objavenej chyby prišlo v takomto procese.

Pre infekciu PC by bolo potrebné skombinovanie s ďalšou zraniteľnosťou, ktorú sa spoločnosti nepodarilo nájsť. Microsoft ale upozornil na vážne riziká aj takéhoto prieniku. Hoci štandardne v jednom procese spúšťa Chrome zrejme len stránky z jednej domény, tento proces nemá limitovaný prístup k dátam pre ostatné weby. Útočník sa tak môže dostať aspoň k dátam z iných stránok, ktoré užívateľ navštevuje.

V treťom kroku Microsoft poukázal ale aj na pomerne fatálne organizačné zlyhanie. Google totiž priamo prezrádza zraniteľnosti v Chrome pred ich opravením tým, že sa objavia vo verejne prístupných repozitároch zdrojových kódov základu Chrome. V prípade tejto zraniteľnosti záplata neumožnila síce zistiť chybu, Microsoft poukázal ale na ďalšiu ktorá to umožnila. V zdrojových kódoch bola prezradená takmer mesiac pred vydaním opravenej verzie Chrome.

Táto posledná výhrada je evidentne priamou reakciou na to ako len pred dvomi týždňami zase Google informoval ako Microsoft znižuje bezpečnosť Windows 7 a 8.1 tým, že opravuje chyby len vo Windows 10 a z opravených súborov sa dajú zistiť chyby stále prítomné v skorších verziách.

Zároveň porovnávanie využívaných bezpečnostných technológií v Chrome a Edge je pravdepodobne priamou reakciou na zverejnené porovnanie bezpečnosti prehliadačov spred mesiaca, kedy štúdia platená Google vyhlásila za najbezpečnejší prehliadač Chrome.


      Zdieľaj na Twitteri



Najnovšie články:

Tesla predstavila 200-tisícový superšportiak a elektrokamión, aj keď nezvláda výrobu Modelu 3
Poslali sme kontaktný signál k blízkej exoplanéte, odpoveď môžeme čakať o 25 rokov
Nezvládanie problému eID pokračuje, certifikáty na diaľku budú asi až v januári
Vážne riziká kryptomien, záchrana 150 miliónov USD v Ethereum bude vyžadovať asi hard fork
Nájdená planéta podobná Zemi len 11 svetelných rokov od nás, letí k nám
Zdražovanie RAM nekončí, ceny výrazne narastú aj v poslednom štvrťroku
4ka ponúka bonus za prenos čísla, iba pre dva paušály
Na Slovensku už celoštátna sieť pre Internet vecí, veľkých užívateľov stále nemá
Štát pri eID nehovoril pravdu, rozhodol sa neskoro, zlyhal a zlyháva. Zmena je nevyhnutná
Mopedový gang vykradol obchod Apple


Diskusia:
                               
 

Zdochynajuca kobyla kope a poriadne :D

Google to aspon nebude 4 roky zatlkat bez opravy
Odpovedať Známka: -2.8 Hodnotiť:
 

Niektoré avizované zraniteľnosti sú od roku 2012 a doteraz Google zatĺka :D
Odpovedať Známka: 8.0 Hodnotiť:
 

To ešte nevravím ako Google klamal s ich Octane benchmarkom. Všetky prehliadače okrem Google Chrome sa upravovali pre Octane benchmark, lebo podľa Google tento benchmark poukazoval na rýchlosť prehliadačov ako takých. Zrazu v apríli tohto roka povedal, že Octane ruší, lebo vraj na ňom vývojári prehliadačov podvádzali. Teraz, keď už má Google odladený Chrome, tak ruší Octane na ktorý svoj prehliadač neupravoval a oklamal tak konkurenciu. Sranda je, že Mozilla sa z toho poučila a dýcha im na krk s Project Quantum, ktorý je na množstve stránok rýchlejším, keď už nie sú prehliadače závislé od Octane by Google. :D
Odpovedať Známka: 5.0 Hodnotiť:
 

Jj, quantum je naozaj vydarený browser. A o to viac, že je open source, na rozdiel od spyware Chrome.
Odpovedať Známka: 4.0 Hodnotiť:
 

Chromium z ktoreho vychadza chrome je open source. Chrome je vlastne iba chromium obalene s doplnkami (napr. flash), ktore uz vlastne nikto nepotrebuje. Teda okrem stastnych majitelov TB uctu.
Odpovedať Známka: 8.8 Hodnotiť:
 

Ako sa hovorí karma je zdarma. Tým nechcem povedať, že Microsoft je nejaké neviniatko.
Odpovedať Známka: 8.6 Hodnotiť:
 

Radsej nech sa takto medzi sebou biju akob mali spolupracovat a zatlkat sa navzajom.
Odpovedať Známka: 8.8 Hodnotiť:
 

Jj, presne a kým oni dvaja, zaslepený vzájomným doťahovaním sa, spia na vavrínoch dominancia, môžu si pekné percento ukrojiť aj ďalšie browsre, ktoré rozhodne majú čo ponúknuť ... Tento diktát Google rozhodne nikomu neprospieva (pomaly to hraničí so situáciou okolo IE6)
Odpovedať Známka: 3.3 Hodnotiť:
 

Presne tak. Quantum co i len naznak spoluprace potvrdzujucich nepopieratelnych a jednoducho overitelnych faktov je skutocne objektivne priekazne.
Odpovedať Známka: -4.0 Hodnotiť:
 

A čo máš s IE6???
Odpovedať Hodnotiť:
 

Rozumiem tomu správne, že tá chyba v Chrome sa sama nedá využiť? Že je potrebná chyba v MS Windows, aby to šlo zneužiť?
MS musí byť fakt vytočený, že sa jeho systém dá zložit aj cez iné softvéry...
Odpovedať Známka: -6.7 Hodnotiť:
 

Nie je možné porovnávať Google a Microsoft. Google má čo? Chrome, Gmail, Drive, vyhľadávač, Youtube a ďalšie menej používané služby. Microsoft má to isté plus operačné systémy klientské, serverovské, databázový server, kancelársky balík, biznis aplikácie a to všetko v rôznych podporovaných verziách. Ak sa nájde chyba napr. vo Windows, tak to musia sakramentsky zanalyzovať, aké to môže mať dopady vo všetkých systémoch. Preto to tak dlho trvá. Vzhľadom nato, že všetky ich systémy sú tu s nami minimálne 20 rokov, tak majú aj svoju históriu, ktorú si stále ťahajú so sebou. Navyše si myslím, že to nezvládajú najmä organizačne.
Odpovedať Známka: -0.6 Hodnotiť:
 

Install Safari, uz niekto videl chybu v Safari????
Odpovedať Známka: -8.2 Hodnotiť:
 

nie, nikto ho totiz nepouziva.
Odpovedať Známka: 8.9 Hodnotiť:
 

https://www.cvedetails.com/ vulnerability-list/vendor_id-49/product_id-2935/ Apple-Safari.html
Odpovedať Známka: 6.7 Hodnotiť:
 

Haha, chuju, všetci okrem Teba:

http://dopice.sk/kp9

Odpovedať Známka: 2.9 Hodnotiť:
 

Safari ma aj v chybach chyby
Odpovedať Známka: 8.5 Hodnotiť:
 

ja som este nevidel Safari
Odpovedať Známka: 4.3 Hodnotiť:
 

Chodí nepravidelne na Mňau, ale priekazne nezriedka koliduje s vysielacím oknom Komisára Rexa na iných programoch.
Odpovedať Známka: 3.3 Hodnotiť:
 

https://torrentfreak.com/ pirate-bays-iconic-se-domain-
has-expired-and-is-for-sale-171016/
Odpovedať Hodnotiť:

Pridať komentár