[NEWS] Google Chrome, Sandboxie e siti malware

Edgar Bangkok · 08-09-2008, 14:29

lunedì 8 settembre 2008

Da qualche giorno e' in distribuzione, tramite il link sulla homepage di Google il nuovo browser Chrome in versione beta.
Si e' scritto molto sul nuovo browser ed anche sul problema di sicurezza trovato a poche ore dall'inizio della disponibilita' del download e anche nelle ultime ore ci sono nuove notizie al riguardo di un'altra vulnerabilita' presente, ma fortunatamente anche dell'aggiornamento disponibile con le patch di sicurezza.
Volendo provare il comportamento di Chrome quando si fossero visitati siti con problemi, ho provato a testare il browser con un sito appartenente agli ultimi visitati e descritti in un precedente post al riguardo di inclusione di pagine nascoste.
La maggiore sorpresa e' stata , non tanto il comportamento di Chrome, al caricamento di una pagina di quelle indicate come possibili links a falsi antivirus, ma il fatto che una volta avviato in Sandboxie , Chrome ha smesso di funzionare.
In pratica veniva proposta la pagina iniziale del browser vuota e senza la possibilita' di accedere a qualunque sito.
Una ricerca in rete ha confermato il problema del mancato funzionamento di Chrome in Sandboxie e alcune ipotesi formulate al riguardo di questo problema.
Una delle possibili cause potrebbe derivare dal modo con cui Chrome gestisce i vari processi.
Come gia' indicato nel sito ufficiale infatti il browser esegue i diversi processi, collegati a pagine caricate su differenti tabs, in aree di memoria separate, paragonate dai creatori del browser ad una sandbox.
Questo sistema garantirebbe un isolamento tra i vari processi relativi alle pagine aperte nelle rispettive tabs ma comunque, anche se chiamato cosi' dai creatori di Chrome, non si tratterebbe di un isolamento dei task paragonabile ad una sandbox (un esempio e' la prima vulnerabilita' scoperta che bypassa questo tipo di protezione)
In ogni caso una soluzione di ripiego per eseguire in Sandboxie Chrome pare essere stata trovata abilitando questa opzione
(img sul blog)
che consente il caricamento di drivers al di fuori della sandbox ma che di conseguenza crea una riduzione dell'isolamento del programma in esecuzione rendendo sandboxie insicuro.
Per quanto si riferisce al test effettuato sulla pagina con link a falso AV, il caricamento di una pagina contenente javascript offuscato , usando le impostazioni di default di Chrome, e' stato eseguito in maniera veramente rapida cosa che se da un lato evidenzia buona velocita' nell'elaborazione degli script java dall'altro porta all'attivazione del download del file eseguibile malevolo quasi istantaneamente ed in maniera del tutto trasparente per l'utente.
(img sul blog)
E' vero che il file scaricato andra' poi eseguito ma in ogni caso il rischio di attivarlo, anche per sbaglio, e' abbastanza rilevante..
(img sul blog)
Ecco un altro esempio di pagina di falso av che carica il file eseguibile ancora prima che venga terminata la falsa scansione.
(img sul blog)
Come ripeto , la configurazione provata e' quella di default al momento della installazione di Chrome, e quindi, andando a modificare alcune impostazioni come ad esempio l'abilitazione o meno degli script java si potrebbero limitare certi automatismi che rendono poco sicuro navigare su siti non noti.
Purtroppo pare che al momento l'unico sistema per disabilitare gli script sia attraverso un parametro passato sulla linea comando quando chrome viene eseguito,

Codice:

Questi alcuni parametri

-disable-javascript
-disable-images
-disable-java
-disable-plugins
-disable-popup-blocking
-start-maximized

In definitiva, visto anche che alcuni setup di impostazioni sembrano ancora piu' da addetti ai lavori, che da utenti finali, al momento attuale, o ci si limita ai soli siti ben conosciuti, oppure l'utilizzo di Chrome potrebbe presentare qualche problema se si incontrano siti compromessi anche con solo un download di falsa applicazione antivirus gestito da semplici scripts java.
Tutto questo chiaramente senza contare eventuali nuove vulnerabilita' che potrebbero essere utilizzate prima che venga rilasciata la relativa patch.

Edgar

fonte: http://edetools.blogspot.com/

c.m.g · 08-09-2008, 15:16

bel lavoro edgar, anche se c'è da dire che il browser è ancora in versione beta... potrebbe essere un paravento per nascondere le possibili falle future sotto il tappeto?

Edgar Bangkok · 08-09-2008, 17:00

Bsognerebbe capire cosa intende Google quando marchia BETA un suo lavoro

Edgar

ps.

Qui dalla thailandia la pagina di Goolge Thailand non presenta il link a Chrome

c.m.g · 08-09-2008, 18:06

in Italia invece si:

c.m.g

riazzituoi · 08-09-2008, 18:26

.

Edgar Bangkok · 09-09-2008, 03:05

Provata l'opzione, -no-sandbox ,dopo aver anche aggiornato per sicurezza Sandboxie all'ultima versione, ed ora Chrome sembra funzionare correttamente all'interno di Sandboxie.

Segnalo inoltre che a questa url http://googlesystem.blogspot.com/200...rome-tips.html si trovano alcune interessanti TIPS per Chrome

Edgar

GOLDRAKES · 11-09-2008, 12:43

ciao edgar il sito che riporti sul blog (complimenti ) esattamente questo scan..secure-online-antivirus.com l'hanno bloccato perchè mi dice inaccessibile risp grazie

08-09-2008, 14:29	#1
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	[NEWS] Google Chrome, Sandboxie e siti malware lunedì 8 settembre 2008 Da qualche giorno e' in distribuzione, tramite il link sulla homepage di Google il nuovo browser Chrome in versione beta. Si e' scritto molto sul nuovo browser ed anche sul problema di sicurezza trovato a poche ore dall'inizio della disponibilita' del download e anche nelle ultime ore ci sono nuove notizie al riguardo di un'altra vulnerabilita' presente, ma fortunatamente anche dell'aggiornamento disponibile con le patch di sicurezza. Volendo provare il comportamento di Chrome quando si fossero visitati siti con problemi, ho provato a testare il browser con un sito appartenente agli ultimi visitati e descritti in un precedente post al riguardo di inclusione di pagine nascoste. La maggiore sorpresa e' stata , non tanto il comportamento di Chrome, al caricamento di una pagina di quelle indicate come possibili links a falsi antivirus, ma il fatto che una volta avviato in Sandboxie , Chrome ha smesso di funzionare. In pratica veniva proposta la pagina iniziale del browser vuota e senza la possibilita' di accedere a qualunque sito. Una ricerca in rete ha confermato il problema del mancato funzionamento di Chrome in Sandboxie e alcune ipotesi formulate al riguardo di questo problema. Una delle possibili cause potrebbe derivare dal modo con cui Chrome gestisce i vari processi. Come gia' indicato nel sito ufficiale infatti il browser esegue i diversi processi, collegati a pagine caricate su differenti tabs, in aree di memoria separate, paragonate dai creatori del browser ad una sandbox. Questo sistema garantirebbe un isolamento tra i vari processi relativi alle pagine aperte nelle rispettive tabs ma comunque, anche se chiamato cosi' dai creatori di Chrome, non si tratterebbe di un isolamento dei task paragonabile ad una sandbox (un esempio e' la prima vulnerabilita' scoperta che bypassa questo tipo di protezione) In ogni caso una soluzione di ripiego per eseguire in Sandboxie Chrome pare essere stata trovata abilitando questa opzione (img sul blog) che consente il caricamento di drivers al di fuori della sandbox ma che di conseguenza crea una riduzione dell'isolamento del programma in esecuzione rendendo sandboxie insicuro. Per quanto si riferisce al test effettuato sulla pagina con link a falso AV, il caricamento di una pagina contenente javascript offuscato , usando le impostazioni di default di Chrome, e' stato eseguito in maniera veramente rapida cosa che se da un lato evidenzia buona velocita' nell'elaborazione degli script java dall'altro porta all'attivazione del download del file eseguibile malevolo quasi istantaneamente ed in maniera del tutto trasparente per l'utente. (img sul blog) E' vero che il file scaricato andra' poi eseguito ma in ogni caso il rischio di attivarlo, anche per sbaglio, e' abbastanza rilevante.. (img sul blog) Ecco un altro esempio di pagina di falso av che carica il file eseguibile ancora prima che venga terminata la falsa scansione. (img sul blog) Come ripeto , la configurazione provata e' quella di default al momento della installazione di Chrome, e quindi, andando a modificare alcune impostazioni come ad esempio l'abilitazione o meno degli script java si potrebbero limitare certi automatismi che rendono poco sicuro navigare su siti non noti. Purtroppo pare che al momento l'unico sistema per disabilitare gli script sia attraverso un parametro passato sulla linea comando quando chrome viene eseguito, Codice: Questi alcuni parametri -disable-javascript -disable-images -disable-java -disable-plugins -disable-popup-blocking -start-maximized In definitiva, visto anche che alcuni setup di impostazioni sembrano ancora piu' da addetti ai lavori, che da utenti finali, al momento attuale, o ci si limita ai soli siti ben conosciuti, oppure l'utilizzo di Chrome potrebbe presentare qualche problema se si incontrano siti compromessi anche con solo un download di falsa applicazione antivirus gestito da semplici scripts java. Tutto questo chiaramente senza contare eventuali nuove vulnerabilita' che potrebbero essere utilizzate prima che venga rilasciata la relativa patch. Edgar fonte: http://edetools.blogspot.com/ __________________ http://edetools.blogspot.com/

08-09-2008, 15:16	#2
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	bel lavoro edgar, anche se c'è da dire che il browser è ancora in versione beta... potrebbe essere un paravento per nascondere le possibili falle future sotto il tappeto? __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

08-09-2008, 17:00	#3
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	Bsognerebbe capire cosa intende Google quando marchia BETA un suo lavoro Edgar ps. Qui dalla thailandia la pagina di Goolge Thailand non presenta il link a Chrome __________________ http://edetools.blogspot.com/ Ultima modifica di Edgar Bangkok : 08-09-2008 alle 17:22.

08-09-2008, 18:06	#4
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	in Italia invece si: c.m.g __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

08-09-2008, 18:26	#5
riazzituoi Bannato Iscritto dal: Aug 2007 Messaggi: 3847	. Ultima modifica di riazzituoi : 30-04-2010 alle 15:55.

09-09-2008, 03:05	#6
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	Provata l'opzione, -no-sandbox ,dopo aver anche aggiornato per sicurezza Sandboxie all'ultima versione, ed ora Chrome sembra funzionare correttamente all'interno di Sandboxie. Segnalo inoltre che a questa url http://googlesystem.blogspot.com/200...rome-tips.html si trovano alcune interessanti TIPS per Chrome Edgar __________________ http://edetools.blogspot.com/

11-09-2008, 12:43	#7
GOLDRAKES Senior Member Iscritto dal: Aug 2006 Messaggi: 1332	ciao edgar il sito che riporti sul blog (complimenti ) esattamente questo scan..secure-online-antivirus.com l'hanno bloccato perchè mi dice inaccessibile risp grazie __________________ CPU -Intel Core I7 930 @2.8Ghz - MAINBOARD - ASUS P6T WS PRO - RAM CORSAIR XMS3 TR3X6G 3X2GB DDR3 1600 8-8-8-20 1T - GPU ASUS Nvidia Geforce GTS250 DK 1Gb GDDR3 - HD WD 500GB 16MB Caviar Blue - PSU Enermax MODU87+GOLD 700W - MONITOR Samsung P2370 - Mast Samsung BD B083L - AUDIO CREATIVE SB X-FI Xtreme Gamer Fatal1ty CASE CM590 DVB-T Avermedia stick OS Win7 64Bit Ultimate SP1

Strumenti
Mostra una versione stampabile Invia questa pagina per email