it-swarm-tr.com

Yalnızca Chrome'da bir web sitesini ziyaret ederek virüs bulabilir misiniz?

Yakın zamanda okudum Google Chrome: Drive-By İndirmelerinin Son . Google Chrome'da indirmeli sürüşlerin geçmiş olduğunu söylemek doğru mu?

Dolayısıyla (spam e-postadan) bir bağlantım varsa sağ tıklayabilirim >> open in new incognito window >> ve sistemime virüs/hasar olmadığından% 100 emin olabilir misiniz?

Başlangıçta bu soruyu https://webapps.stackexchange.com/questions/15209/anonymous-links-in-email/15211 adresinde sordum ama iyi bir yanıt almıyorum (ve ayrıca sorumun tamamı phishing sitelerini hedeflerken, sorum "virüs siteleri" hedefleniyor).

43
Pacerier

Drive-by indirme saldırılarının yalnızca, kullanıcının olduğu gibi etkileşimi nedeniyle gerçekleştiği kabul edilmektedir; örneğin, güvenliği ihlal edilmiş web sitesinin ziyaretçilerinin en azından çift tıklaması gereken HDD Plus virüsü ile rad.msn.com afişleri.

Ancak aslında IE, Safari, Chrome ve Firefox'ta kullanıcının etkileşimi gerekmeksizin) başarılı bir şekilde çalışan indirme saldırıları olmuştur. Örneğin, CVE-2011-0611 = 13 Nisan 2011'e kadar 0 günlük bir güvenlik açığıydı (bu soruyu sormadan kısa bir süre önce anlamına gelir) .İngiltere'deki İnsan Hakları İzleme Örgütü web sitesinin ana sayfasına bulaşmak için kullanıldı. Virüs bulaşmış sayfa = bir hileli <script src=newsvine.jp2></script> öğesi içeriyor. Bu, tarayıcıyı newsvine.jp2 önbelleğe almayı ve JavaScript kodu olarak yürütmesini sağlıyor. Önbellekleme başarılı, ancak dosya aslında JavaScript olarak yürütülemiyor çünkü aslında pincav ailesinden bir arka kapıya karşılık gelen yeniden adlandırılmış kötü amaçlı bir yürütülebilir dosya.

Virüs bulaşmış sayfada bulunan başka bir hileli komut dosyası öğesi, çoğu sürerek indirme saldırısının aksine yerel bir <script src="/includes/googlead.js"></script> Dosyasını yükleyen .js. googlead.js İçindeki JavaScript kodu, saldırganlar tarafından kontrol edilen bir alandan SWF istismarını yürüten bir iframe oluşturur.

Aynı yıl bu soruyu sorduğunuzda, o sırada JRE'nin savunmasız bir sürümünü çalıştırdıkları sürece hiçbir tarayıcının güvenli olmadığı bir sürücü indirme indirme saldırısına başka bir örnek daha vardı ( CVE-2011-3544) ). Uluslararası Af Örgütü'nün İngiltere'deki ana sayfasını binlerce ziyaretçiye Trojan Spy-XR kötü amaçlı yazılım bulaştı. Saldırılar devam etti Haziran 2011'e kadar , bu soruyu sorduktan sonra: Google Chrome güvenli değildi.

Bu sorudan iki yıldan biraz fazla bir süre sonra, 24 Ekim 201 tarihinde, ünlü php.net Web sitesi, gizli bir iframe etiketi. Saldırı ayrıca Google Chrome ile ilgilidir.

Ayrıca Google Chrome sanal alan mekanizması nedeniyle bu kadar güvenli olabilir: güvenlik açıkları veya içinde yüklü eklentilerin güvenlik açıkları.

10
user45139

Kısa cevap: Evet, yalnızca bir siteyi ziyaret etmek için Chrome veya herhangi bir tarayıcı ile kullanıcı etkileşimi gerekmeden virüs alabilirsiniz ( video gösterimi ). Chrome ile% 100 güvenli değilsiniz - ve muhtemelen hiçbir zaman herhangi bir tarayıcıda olmayacaksınız, ancak Chrome ona ve güvenlik araştırma topluluğuna oldukça yaklaşıyor) şu anda, kullanabileceğiniz en güvenli tarayıcı olduğu konusunda hemfikir görünüyor.

Uzun cevap: Chrome, şu anda, güvenliği artıran sanal alan teknikleri nedeniyle pencerelerde bulunan en güvenli tarayıcıdır. Bu sanal alanın iyi bir açıklaması burada: http://blog.chromium.org/2008/10/new-approach-to-browser-security-google.html biraz tarihli olsa da. Daha yeni ve teknik olanı burada: http://dev.chromium.org/developers/design-documents/sandbox

Genel fikir kötü amaçlı bir web sitesi kod yürütme pc elde etmek için iki ayrı istismar kullanmak zorunda kalacak: Birincisi tarayıcı, ikincisi sanbox istismar. Bunun yapılması çok zor bir şey olarak kanıtlanmıştır - hiç yapılmamıştır.

Sorunuz Güzel bir zamanlamayla geliyor: Bir hafta önce güvenlik araştırma şirketi VUPEN chrome sandbox'ı kırdığını ve aşağıdaki duyuruyu yayınladığını iddia etti: http://www.vupen.com /demos/VUPEN_Pwning_Chrome.php Videoyu izlerseniz, kötü amaçlı URL'yi ziyaret etmenin yanı sıra kullanıcı etkileşimi gerekmediğini ve hiçbir uygulamadan başka bir yere çıktığını göreceksiniz (bunun yerine virüs olabilir). yanlış olduğu kanıtlandı (ancak bu basit kullanıcılar için çok önemli değil): Korumalı alanın kendisi ihlal edilmedi.VUPEN'in Adobe Flash Player'da neredeyse herkesin yüklediği bir eklenti olan bir hatayı kullandığı ortaya çıktı - ve bu eklenti Google'ın yanıtı, bu eklentinin sonunda sonraki sürümlerde sanallaştırılacak şekilde hızlı hareket etmeleri ve gelişmeleri.

Özetlemek gerekirse: Videoda görebileceğiniz gibi, güvende olduğunuzdan asla% 100 emin olamazsınız, bu yüzden dikkatli olun, nereye gittiklerini bilmediğiniz bağlantıları açmayın veya sitelere güvenmeyin.

Sidenote: NSA son zamanlarda internette kullanıcı güvenliği için "En İyi Uygulamalar" ı gösteren bir belge yayınladı: Bunların arasında korumalı alana sahip bir tarayıcı kullanılması önerisi de var.

İşte rapor: http://www.nsa.gov/ia/_files/factsheets/Best_Practices_Datasheets.pdf

Başka bir sidenote: Internet Explorer 9, korumalı alana sahip olarak ilan edilir, ancak güvenlik araştırmacıları, düzgün bir şekilde uygulanmadığını ve buna karşı başarılı saldırılar sergilediğini kabul eder.

Üçüncüsü: Gizli pencerenin virüs korumasıyla bir ilgisi yoktur, ancak çerezlerin çalınması veya benzerinin hedef olduğu belirli saldırı sınıflarında yararlı olabilir, çünkü tarayıcı örneklerini ayırır ve mevcut bilgileri yalıtır.

Son olarak, sanal makinelerde sandboxie ve çalışan tarayıcılar gibi daha iyi koruma sağlayan teknolojiler vardır.

36
john

Drive-by indirmelerinin geçmiş olduğunu söyleyemeyeceğimizi sanmıyorum (Chrome kullanıyorsanız). Chrome uygular kum boks ama içerdiği işlem alanından kaçmak imkansız değil.Kum boksu ve güvenli tarama sadece saldırganın başarılı olma olasılığını azaltır.

10
Ben