markasblog

Po tym jak Adobe w poniedziałek opublikował informację o istnieniu luki zero-day  w odtwarzaczu Flash Player, która umożliwia przeprowadzenie ataku przy użyciu odpowiednio spreparowanego pliku Excel, Google we wtorek wydał aktualizacje przeglądarki Chrome, w której ten problem został wyeliminowany. Tak szybka reakcja jest efektem ścisłej współpracy Adobe z Google, która trwa od kwietnia 2010. Na mocy umowy spisanej pomiędzy dwoma gigantami, Adobe udostępnia nowe wersje oprogramowania Flash programistą Google w celu testów i późniejszej integracji.

Często w tej sytuacji zdarza się, że przeglądarka od Google pracuje z najnowszą wersją Flasha, zanim jeszcze jest ona dostępna do pobrania przez użytkowników innych przeglądarek internetowych. I tak jest i w tym przypadku. Firefox, Safari, IE oraz Opera muszą czekać na oficjalne udostępnienie najnowszej wersji Flasha, a tymczasem Chrome już teraz pracuje z wersją 10.2.154.25 programu Flash Player.

Najnowszą wersję Chrome oznaczoną numerem 10.0.648.134 można pobrać ze stron producenta odpowiednio dla systemu: Windows, Linux, Mac OS X.

Użytkownicy, którzy już korzystają z przeglądarki Chrome mogą, a nawet powinni skorzystać z opcji automatycznych aktualizacji.

Minął rok od poprzedniego konkursu Pwn2Own. Wczoraj w ramach akcji Zero Day Initiative, specjaliści ds. bezpieczeństwa oraz hakerzy stanęli w szranki, aby pokazać jak dobrzy są, a i przy okazji udowodnić, że przeglądarki, z których korzystamy wcale takie bezpieczne za jakie je uważają ich producenci nie są. Wyjątkiem tutaj jest Opera, która nie wystawiła swojego produktu do konkursu oraz Chrome, do którego w pierwszy dzień konkursu nawet nikt nie podszedł. Okazuje się bowiem, że produkt Google jest najtrudniejszą do złamania przeglądarką wśród tych najpopularniejszych. Konkurs jeszcze się nie skończył. Przed nami jeszcze dwa dni konkursu i może się okazać, że po zmianie platformy i Chrome polegnie.

W skrócie plan tegorocznego konkursu:

Dzień 1.

Hakerzy mieli okazję zmierzyć się z następującymi zestawieniami produktów:

• Microsoft Internet Explorer 8 on Windows 7
• Mozilla Firefox 3 on Windows 7
• Google Chrome 4 on Windows 7
• Apple Safari 4 on MacOS X Snow Leopard

Złamano zabezpieczenia wszystkich przeglądarek za wyjątkiem Google Chrome.

Dzień 2.

• Microsoft Internet Explorer 7 on Windows Vista
• Mozilla Firefox 3 on Windows Vista
• Google Chrome 4 on Windows Vista
• Apple Safari 4 on MacOS X Snow Leopard

Dzień 3.

• Microsoft Internet Explorer 7 on Windows XP
• Mozilla Firefox 3 on Windows XP
• Google Chrome 4 on Windows XP
• Apple Safari 4 on MacOS X Snow Leopard

Jednocześnie n a próbę wystawione są platformy mobilne. W tym roku hakerzy mają do dyspozycji:

• Apple iPhone 3GS
• RIM Blackberry Bold 9700
• Nokia E72 device running Symbian
• HTC Nexus One running Android

Jako pierwszy poległ w tej grupie iPhone, który został złamany z wykorzystaniem luki w mobilnej wersji przeglądarki Safari. Atakującemu udało się skopiować wszystkie wiadomości tekstowe z urządzenia.

Pula nagród przewidziana na ten rok to 40 000 $ dla osób zajmujących się platformami stacjonarnymi oraz 60 000 $ dla osób próbujących złamać zabezpieczenia platform mobilnych. Dodatkowo każdy z uczestników otrzyma sprzęt, na którym pracował podczas przeprowadzenia ataku.

Tego typu konkursy pokazują jak bardzo w błąd nas wprowadzają producenci przeglądarek internetowych. Bezpieczeństwo to mrzonka. Na tle większości jedynie Chrome wydaje się być ciekawą alternatywą. Mechanizm sandbox najwyraźniej sprawia bardzo dużo problemów hakerom. Jest to kolejny mur na drodze do przejęcia kontroli nad atakowanym środowiskiem. Hakerzy przyznają, że w Chrome są luki, które można by łatwo wykorzystać, gdyby właśnie nie sandbox.

O Operze po tych zawodach prawdy się nie dowiemy. Producent nie wystawia swojego produktu do konkursu. Zastanawiam się czemu. Czy to postępowanie jest związane z obawami przed możliwością obalenia mitu o bezpieczeństwie i stabilności oprogramowania spod znaku Opera Software? Boi się konkurencji? Ma obawy przed negatywną reklamą, której ofiarą może paść szybciej niż Internet Explorer? Szczerze powiem, że nie widzę jakiegoś sensownego wytłumaczenia tej sytuacji. Polityka opery dla mnie jest nie jasna. Pewnie dlatego nigdy nie zagości u mnie jako default browser.

W niedzielę Microsoft potwierdził istnienie luki zero-day w przeglądarce Internet Explorer, którą odkrył Maurycy Prodeus. Problem dotyczy sytemu Windows XP z zainstalowaną przeglądarką IE 6, 7 lub 8. Luka wykorzystuje VBScript oraz mechanizm pomocy wbudowanej w system Windows. Atak wykorzystuje odpowiednio spreparowany plik *.hlp, a w jego wyniku atakujący może wstrzyknąć złośliwy kod na komputer użytkownika. Warto dodać, że luka została wykryta w 2007 roku, ale dopiero teraz Prodeus zdecydował się na opublikowanie kodu atakującego system. Poziom zagrożenia, Maurycy Prodeus określił jako „średni” argumentując to tym, że użytkownik atakowanego komputera musi zostać zmuszony do interakcji. Microsoft poinformował, że problem nie dotyczy systemów Windows Vista, Windows 7, Microsoft Windows Server 2008 i Microsoft Windows Server 2008 R2 oraz, że nie pojawiły się jeszcze żadne dowody wykorzystanie luki do ataków.

Inny specjalista ds. bezpieczeństwa, Cesar Cerrudo uważa, że poziom ważności luki wykrytej przez Prodeusa powinien być zakwalifikowany jako „wysoki”, ponieważ według niego nie będzie ciężko zmusić użytkownika do interakcji ze złośliwym oprogramowaniem. Według Cerrudo wystarczy napisać złośliwą aplikację w sposób, który zmusi użytkownika do naciśnięcia klawisza F1 w celu potwierdzenia przejścia do następnego kroku w procesie instalacji. W ten sposób nieświadomy użytkownik wywoła system pomocy systemu Windows, a więc wywoła złośliwy kod ukryty pod rozszerzeniem *.hlp.

Jerry Bryant – starszy menadżer pracujący w Microsoft Security Response Center, określił wprost, że:

Pliki pomocy systemu Windows znajdują się na długiej liście tego, co nazywamy „niebezpieczne typy plików”. Są to typy plików, które mają za zadanie wykonać automatyczne akcje podczas normalnego korzystania z plików. Choć mogą one być bardzo cennymi narzędziami w pracy, mogą one również zostać wykorzystane przez napastników do zainfekowania systemu.

Microsoft nie określił jeszcze harmonogramu naprawy błędu. Bardzo prawdopodobne jest jednak, że poprawka ukaże się w normalnym cyklu, czyli wraz z marcowymi biuletynami bezpieczeństwa, których wydanie zaplanowane jest na 9 marca.

Maurycy Prodeus zasugerował tymczasowe wyeliminowanie problemu, polegające na zablokowaniu ruchu wychodzącego na porcie TCP 445, przy czym zwraca uwagę, że takie rozwiązanie nie wyeliminuje całkowicie problemu, ponieważ atakujący może wykorzystać inną drogę do zainfekowania komputera (np.: poprzez wtyczki zainstalowane do przeglądarki).

Cesar Cerrudo poszedł dalej i zaproponował zmianę przeglądarki na bardziej bezpieczną.

Ostatni biuletyn bezpieczeństwa, który wyeliminował krytyczną lukę w zabezpieczeniach Internet Explorera nie sprawił, że przeglądarka Microsoftu stała się jakoś bardziej bezpieczna. Na trop nowej podatności wpadł Jorge Luis Alvarez Medina, będący specjalistą ds. bezpieczeństwa. Tym razem chodzi o możliwość wykorzystania zestawu kilku mniejszych luk wykrytych w programie, które w pojedynkę nie niosą ze sobą żadnego zagrożenia dla systemu, na którym jest zainstalowane IE. Szczegółowe informacje na temat nowej podatności na atak zostaną opublikowane na konferencji Black Hat 2010, która odbędzie się 2 lutego w Waszyngtonie.

Zastanawiam się, czy jest przypadkiem tak, że Internet Explorer stał się „chłopcem do bicia” w świecie przeglądarek internetowych. Co rusz to nowe informacje o niebezpieczeństwach związanych z użytkowaniem produktu ze stajni Microsoftu. Zastanawiam się jak to jest z jakością kodu w Operze i Safari.

Luka w przeglądarce Microsoftu, która została wykorzystana do ataku na komputery między innymi Google zostanie załatana przez korporację jeszcze przed wydaniem lutowych biuletynów zabezpieczeń. Microsoft podjął taką decyzję po naciskach ze strony specjalistów, którzy zwrócili uwagę na fakt, że podatność ta nie dotyczy tylko i wyłącznie IE w wersji 6, ale przy odpowiednich modyfikacjach złośliwego kodu, możliwe jest przeprowadzenie ataku na maszyny z zainstalowanymi późniejszymi wersjami Internet Explorera. Dowodem na to może być koncept opracowany przez Dina Dai Zovi, który przystosował złośliwy kod do ataku na system Windows Vista z zainstalowanym IE7, w sposób umożliwiający mu przeglądanie zasobów dyskowych zaatakowanej maszyny z pominięciem mechanizmu zabezpieczeń DEP. Póki co  nie udało się modyfikować ustawień systemu.

Jak widać, Microsoft poważnie podszedł do problemu deklarując wydanie stosownej poprawki poza standardowym harmonogramem. Dla przypomnienia, biuletyny zabezpieczeń w ramach których są udostępniane poprawki dla produktów Microsoft są publikowane w każdy drugi wtorek miesiąca. Oficjalna data wydania stosownej poprawki ma zostać ogłoszona wkrótce.

Opera dopięła swego. Od marca 2010 w systemach Windows XP, Vista i Windows 7 pojawi się ekran wyboru przeglądarki, który zostanie dostarczony za pośrednictwem mechanizmu Windows Update i będzie widoczny tylko dla użytkowników z Europy. Jest to efekt skargi złożonej przez firmę Opera Software, która dotyczyła praktyk monopolistycznych, za które producent Opery uważał dołączanie do systemów Windows przeglądarki Internet Explorer bez dawania wyboru innej przeglądarki.

Microsoft po długich targach z Komisją Europejską i wielu zmianach podejść do tematu (dla przypomnienia – Microsoft w obliczu stawianych zarzutów chciał wydać na rynek europejski system Windows 7 bez zainstalowanej jakiejkolwiek przeglądarki) postanowił dać użytkownikom możliwość wyboru alternatywy dla Internet Explorera spośród 12 przeglądarek podzielonych na dwie grupy. W pierwszej grupie znajdą się: Internet Explorer, Google Chrome, Firefox, Safari i Opera,  a w drugiej grupie powinniśmy znaleźć: AOL, Maxthon, K-Meleon, Flock, Avant Browser, Sleipnir oraz Slim Browser. Kolejność przeglądarek w obu grupach będzie losowa, aby uniknąć faworyzowania którejś z nich. Ekran wyboru przeglądarek umożliwi także wyświetlenie przed zainstalowaniem dodatkowych informacji o każdym produkcie, co pozwoli na dokonanie bardziej świadomego wyboru każdemu użytkownikowi.

Wygląd okna wyboru przeglądarki Micorosoft przedstawił w krótkiej prezentacji, którą można pobrać tutaj.  Z prezentacji można również dowiedzieć się, że Internet Explorer nie zostanie usunięty z systemu całkowicie, gdy wybierzemy inną przeglądarkę. Przeglądarka Microsoftu wciąż będzie dostępna dla użytkownika  z poziomy menu Start.

Umowa zawarta pomiędzy Komisją Europejską a Microsoftem obowiązywać będzie przez 5 kolejnych lat. Cała sprawa wzbudziła wśród społeczności internetowej ogromną wrzawę. Pomimo, że wielu użytkowników uważało, że rynek systemów operacyjnych oraz przeglądarek internetowych jest zmonopolizowany przez firmę z Redmond, to i tak uważają, że nakaz wydany przez Komisję Europejską jest absurdalny, ponieważ dla większości jasne jest, że producent systemu operacyjnego może robić ze swoim produktem co mu się podoba. Ja również przyłączam się do tych opinii.

Co na to Opera Software? Wraz z wyrokiem Komisji Europejskiej Opera ogłosiła wielkie zwycięstwo w walce o wolność otwartych standardów w internecie. Może się jednak okazać, że w ten sposób Opera zrazi do siebie wielu użytkowników, jako firma, która w nieuczciwy sposób próbuje w jakiś bardziej znaczący sposób zaistnieć ze swoim produktem. Za jakiś czas zapewne pojawią się w sieci pierwsze raporty mówiące o wpływie pojawienia się ekranu wyboru przeglądarki w systemach Windows na wzrost popularności konkretnych przeglądarek internetowych. Nie spodziewam jakiś znaczących zmian. Myślę, że Opera wciąż będzie przeglądarką niszową.

Już od dawna Microsoft stara się namówić użytkowników Internet Explorera 6 na aktualizację swojej przeglądarki do nowszej wersji. To, że IE6 to archaizm wśród przeglądarek internetowych, nikomu nie muszę mówić. Niestety wciąż jest to najpopularniejsza przeglądarka na świecie z udziałem w rynku na poziomie 23,3 procenta. Microsoft postanowił rozpocząć nową kampanię namawiającą do zmiany IE6 na IE7 lub IE8. Starszy manager ds. Internet Explorera tak motywuje decyzję giganta z Redmond:

Chcemy pomóc ludziom zrozumieć, jak można uchronić się przed realnymi zagrożeniami inżynierii społecznej, oraz zrozumieć, w jaki sposób Internet Explorer 8 pozwoli kontrolować prywatność użytkownika w Sieci.

Microsoft zwraca uwagę na niedoskonałości jakimi obarczony jest IE6. Brak zgodności ze standardami powoduje, że twórcy stron internetowych mają ciężki orzech do zgryzienia. Brak wsparcia dla zaawansowanych technologii internetowych oraz braki w zabezpieczeniach (10 stycznia 2009 roku specjaliści z firmy Secunia opublikowali w raporcie informacje o 142 podatnościach na przeprowadzenie ataku, z których tylko 22 były załatane) są moim zdaniem wystarczającym powodem, aby podjąć decyzję o aktualizacji swojej przeglądarki.

Kampania ma potrwać do czerwca 2010 roku.

Microsoft opublikował poradnik bezpieczeństwa o numerze 977981 (Security Advisory 977981), w którym udziela wskazówek jak uchronić się przed nowym złośliwym kodem, który ujrzał światło dzienne pod koniec minionego tygodnia.

Pełną listę systemów podatnych na atak z wykorzystaniem luki w IE 6 i IE 7 można znaleźć na stronie Microsoftu. W skrócie na atak podatne są IE 6 w systemie Windows 2000 z dodakiem Service Pack 4, IE 6 i IE 7 w systemach Windows XP, Vista, Windows Server 2003 i Windows Server 2008.

Z analizy przeprowadzonej przez Microsoft wynika również, że na atak nie podatne są IE 5.01 z Service Packiem 4 oraz Internet Explorer 8 we wszystkich obsługiwanych systemach.

Microsoft zaleca użytkownikom Windows Vista z zainstalowanym IE 7 uruchamiać przeglądarkę w trybie chronionym co pozwoli na ograniczenie możliwości przeprowadzenia ataku. Zalecane jest również ustawienie poziomu zabezpieczeń dla strefy internet na „Wysoki” co całkowicie wyeliminuje możliwość uruchamiania Java Script.

A ja proponuje aktualizację Internet Explorera do wersji 8.

Nieznani hakerzy opublikowali na liście mailingowej Bugtraq nowy kod umożliwiający przeprowadzenie ataku na systemy Windows z zainstalowaną przeglądarką IE w wersji 6 i 7. Kod został przeanalizowany przez specjalistów z firmy Symantec, którzy stwierdzili, że atak przeprowadzony za pomocą tego kodu nie zawsze kończy się powodzeniem, ale w efekcie ataku może zostać zainstalowane na komputerze niepożądane oprogramowanie. Spodziewają się również, że w pełni funkcjonalny kod powinien pojawić się wkrótce. Złośliwy kod działa na systemie Windows Xp z zainstalowanym Service Packiem 3 i Internet Explorerem w wersji 6 i 7. Nie potwierdzono skuteczności kodu dla IE8.

Jak do tej pory Symantec nie natrafił w sieci na ślady wykorzystania nowego kodu do atakowania maszyn podłączonych do Internetu, ale ze względu na wciąż dużą popularność IE 6 i 7 należy się spodziewać szybkiej eskalacji zagrożenia.

Symantec zaleca aktualizować definicje baz wirusów dla swoich antywirusów jak najczęściej, wyłączyć obsługę Java Script oraz odwiedzać jedynie zaufane witryny do czasu wydania przez Microsoft stosownej poprawki.

O dodatku ze stajni Google pisałem jakiś czas temu. Chrome Frame po zainstalowaniu w systemie miał przemienić Internet Explorera w przeglądarkę Google Chrome dając IE silnik wykorzystywany przez Google Chrome. O wtyczce od razu zrobiło się głośno, a największe zastrzeżenia do ulepszania IE miał Microsoft twierdząc, że Chrome Frame może zwiększyć podatność IE na różnego rodzaju ataki.

Oskarżenia okazały się jak najbardziej słuszne, ponieważ specjaliści z Microosftu znaleźli kodzie Chrome Frame lukę umożliwiającą przeprowadzenie ataku cross-origin. Rekacja Google była natychmiastowa. Dwa dni temu opublikowana została nowa wersja Chrome Frame oznaczona numerem 4.0.233.9, która powinna zostać automatycznie zainstolawana na maszynach z zainstalowaną wcześniejszą wersją wtyczki. Poza wyeliminowaniem luki pozwalającej na przeprowadzenie ataki cross-origin, zostały wyeliminowane inne drobniejsze błędy związane z działaniem Chrome Frame. Więcej na tema tych zmian można przeczytać na oficjalnym blogu Google.

Poniżej linki do pozostałych artykułów o Gogole Chrome Frame opublikowanych na markasblog:

Frame od Google dla IE

Google Chrome Frame – podsumowanie tygodnia

Google Chrome Frame – Mozilla stoi po stronie Microsoftu