Edgar Bangkok
08-09-2008, 13:29
lunedì 8 settembre 2008
Da qualche giorno e' in distribuzione, tramite il link sulla homepage di Google il nuovo browser Chrome in versione beta.
Si e' scritto molto sul nuovo browser ed anche sul problema di sicurezza trovato a poche ore dall'inizio della disponibilita' del download e anche nelle ultime ore ci sono nuove notizie al riguardo di un'altra vulnerabilita' presente, ma fortunatamente anche dell'aggiornamento disponibile con le patch di sicurezza.
Volendo provare il comportamento di Chrome quando si fossero visitati siti con problemi, ho provato a testare il browser con un sito appartenente agli ultimi visitati e descritti in un precedente post al riguardo di inclusione di pagine nascoste.
La maggiore sorpresa e' stata , non tanto il comportamento di Chrome, al caricamento di una pagina di quelle indicate come possibili links a falsi antivirus, ma il fatto che una volta avviato in Sandboxie , Chrome ha smesso di funzionare.
In pratica veniva proposta la pagina iniziale del browser vuota e senza la possibilita' di accedere a qualunque sito.
Una ricerca in rete ha confermato il problema del mancato funzionamento di Chrome in Sandboxie e alcune ipotesi formulate al riguardo di questo problema.
Una delle possibili cause potrebbe derivare dal modo con cui Chrome gestisce i vari processi.
Come gia' indicato nel sito ufficiale infatti il browser esegue i diversi processi, collegati a pagine caricate su differenti tabs, in aree di memoria separate, paragonate dai creatori del browser ad una sandbox.
Questo sistema garantirebbe un isolamento tra i vari processi relativi alle pagine aperte nelle rispettive tabs ma comunque, anche se chiamato cosi' dai creatori di Chrome, non si tratterebbe di un isolamento dei task paragonabile ad una sandbox (un esempio e' la prima vulnerabilita' scoperta che bypassa questo tipo di protezione)
In ogni caso una soluzione di ripiego per eseguire in Sandboxie Chrome pare essere stata trovata abilitando questa opzione
(img sul blog)
che consente il caricamento di drivers al di fuori della sandbox ma che di conseguenza crea una riduzione dell'isolamento del programma in esecuzione rendendo sandboxie insicuro.
Per quanto si riferisce al test effettuato sulla pagina con link a falso AV, il caricamento di una pagina contenente javascript offuscato , usando le impostazioni di default di Chrome, e' stato eseguito in maniera veramente rapida cosa che se da un lato evidenzia buona velocita' nell'elaborazione degli script java dall'altro porta all'attivazione del download del file eseguibile malevolo quasi istantaneamente ed in maniera del tutto trasparente per l'utente.
(img sul blog)
E' vero che il file scaricato andra' poi eseguito ma in ogni caso il rischio di attivarlo, anche per sbaglio, e' abbastanza rilevante..
(img sul blog)
Ecco un altro esempio di pagina di falso av che carica il file eseguibile ancora prima che venga terminata la falsa scansione.
(img sul blog)
Come ripeto , la configurazione provata e' quella di default al momento della installazione di Chrome, e quindi, andando a modificare alcune impostazioni come ad esempio l'abilitazione o meno degli script java si potrebbero limitare certi automatismi che rendono poco sicuro navigare su siti non noti.
Purtroppo pare che al momento l'unico sistema per disabilitare gli script sia attraverso un parametro passato sulla linea comando quando chrome viene eseguito,
Questi alcuni parametri
-disable-javascript
-disable-images
-disable-java
-disable-plugins
-disable-popup-blocking
-start-maximized
In definitiva, visto anche che alcuni setup di impostazioni sembrano ancora piu' da addetti ai lavori, che da utenti finali, al momento attuale, o ci si limita ai soli siti ben conosciuti, oppure l'utilizzo di Chrome potrebbe presentare qualche problema se si incontrano siti compromessi anche con solo un download di falsa applicazione antivirus gestito da semplici scripts java.
Tutto questo chiaramente senza contare eventuali nuove vulnerabilita' che potrebbero essere utilizzate prima che venga rilasciata la relativa patch.
Edgar :D
fonte: http://edetools.blogspot.com/
Da qualche giorno e' in distribuzione, tramite il link sulla homepage di Google il nuovo browser Chrome in versione beta.
Si e' scritto molto sul nuovo browser ed anche sul problema di sicurezza trovato a poche ore dall'inizio della disponibilita' del download e anche nelle ultime ore ci sono nuove notizie al riguardo di un'altra vulnerabilita' presente, ma fortunatamente anche dell'aggiornamento disponibile con le patch di sicurezza.
Volendo provare il comportamento di Chrome quando si fossero visitati siti con problemi, ho provato a testare il browser con un sito appartenente agli ultimi visitati e descritti in un precedente post al riguardo di inclusione di pagine nascoste.
La maggiore sorpresa e' stata , non tanto il comportamento di Chrome, al caricamento di una pagina di quelle indicate come possibili links a falsi antivirus, ma il fatto che una volta avviato in Sandboxie , Chrome ha smesso di funzionare.
In pratica veniva proposta la pagina iniziale del browser vuota e senza la possibilita' di accedere a qualunque sito.
Una ricerca in rete ha confermato il problema del mancato funzionamento di Chrome in Sandboxie e alcune ipotesi formulate al riguardo di questo problema.
Una delle possibili cause potrebbe derivare dal modo con cui Chrome gestisce i vari processi.
Come gia' indicato nel sito ufficiale infatti il browser esegue i diversi processi, collegati a pagine caricate su differenti tabs, in aree di memoria separate, paragonate dai creatori del browser ad una sandbox.
Questo sistema garantirebbe un isolamento tra i vari processi relativi alle pagine aperte nelle rispettive tabs ma comunque, anche se chiamato cosi' dai creatori di Chrome, non si tratterebbe di un isolamento dei task paragonabile ad una sandbox (un esempio e' la prima vulnerabilita' scoperta che bypassa questo tipo di protezione)
In ogni caso una soluzione di ripiego per eseguire in Sandboxie Chrome pare essere stata trovata abilitando questa opzione
(img sul blog)
che consente il caricamento di drivers al di fuori della sandbox ma che di conseguenza crea una riduzione dell'isolamento del programma in esecuzione rendendo sandboxie insicuro.
Per quanto si riferisce al test effettuato sulla pagina con link a falso AV, il caricamento di una pagina contenente javascript offuscato , usando le impostazioni di default di Chrome, e' stato eseguito in maniera veramente rapida cosa che se da un lato evidenzia buona velocita' nell'elaborazione degli script java dall'altro porta all'attivazione del download del file eseguibile malevolo quasi istantaneamente ed in maniera del tutto trasparente per l'utente.
(img sul blog)
E' vero che il file scaricato andra' poi eseguito ma in ogni caso il rischio di attivarlo, anche per sbaglio, e' abbastanza rilevante..
(img sul blog)
Ecco un altro esempio di pagina di falso av che carica il file eseguibile ancora prima che venga terminata la falsa scansione.
(img sul blog)
Come ripeto , la configurazione provata e' quella di default al momento della installazione di Chrome, e quindi, andando a modificare alcune impostazioni come ad esempio l'abilitazione o meno degli script java si potrebbero limitare certi automatismi che rendono poco sicuro navigare su siti non noti.
Purtroppo pare che al momento l'unico sistema per disabilitare gli script sia attraverso un parametro passato sulla linea comando quando chrome viene eseguito,
Questi alcuni parametri
-disable-javascript
-disable-images
-disable-java
-disable-plugins
-disable-popup-blocking
-start-maximized
In definitiva, visto anche che alcuni setup di impostazioni sembrano ancora piu' da addetti ai lavori, che da utenti finali, al momento attuale, o ci si limita ai soli siti ben conosciuti, oppure l'utilizzo di Chrome potrebbe presentare qualche problema se si incontrano siti compromessi anche con solo un download di falsa applicazione antivirus gestito da semplici scripts java.
Tutto questo chiaramente senza contare eventuali nuove vulnerabilita' che potrebbero essere utilizzate prima che venga rilasciata la relativa patch.
Edgar :D
fonte: http://edetools.blogspot.com/