Tag Archives: Chrome

Google Chrome: Sergey Glazunov och Pinkie Pie tog priser i Pwnium

Som jag skrev för en dryg vecka sedan så har Google övergivit hackertävlingen Pwn2Own på CanSecWest-mässan för att de nya reglerna inte passade dem. Istället lade man en miljon dollar i prispotten på en ny tävling, Pwnium, som helt går ut på att hitta svagheter i Chromium, det vill säga källkoden till Google Chrome. 

Google Chrome kan nog sägas vara den säkraste av de stora webbläsarna, tack vare sandlådetekniken. Vissa processer körs alltså i en form av virtuell miljö som gör att angriparen begränsas ganska kraftigt i vad han eller hon kan göra med datorn genom webbläsaren.

I år delades prispengar faktiskt ut, tidigare år har det varit ganska skralt med hittade svagheter. Sergey Glazunov och Pinkie Pie, av allt att döma en rosa plasthäst, tog hem 60 000 dollar var ur prissumman på en miljon dollar. Glazunov tog sig runt sandlådan.

Google visar sig i undersökningar vara den arbetsplats där unga helst av allt vill jobba och Pwnium blir ytterligare en del i deras makalösa employer branding-arbete – tävlingen är avslutad och nu delas resten av prispengarna, 880 000  dollar, ut till teamet på Google som jobbar med att hålla Chrome säkert.

Google dumpar Pwn2Own

Hackartävlingen Pwn2Own blir utan Googles sponsorpengar i år, skriver PC för alla. Orsaken är en regeländring, deltagarna behöver inte längre redovisa säkerhetproblemen de hittar. Inte bra tycker Google, av förklarliga skäl.

Google har tidigare sponsrat tävlingen med en stor prissumma till den som lyckas hacka webbläsaren Google Chrome, pengar som mig veterligen inte har tagits hem av någon deltagare än. Nu ska man istället ha en egen tävling.

Mozilla planerar gömma versionsnummer i Firefox

Efter att ha ökat versionsnumren i Firefox i väldigt snabb takt, något som uppmärksammats av bland annat IDG, planerar Mozilla nu att helt dölja versionsnumren i Firefox, och istället bara visa något i stil med ”Firefox sökte efter uppdateringar för 20 minuter sedan, du har den senaste versionen”.

I en kommentar på bugzilla finns följande att läsa, skrivet av Asa Dotzler, Community Manager för Firefox:

Remove version from About window
When a user opens the About window for Firefox, the window should say something like ”Firefox checked for updates 20 minutes ago, you are running the latest release.”

It is important to say when the last check happened and ideally to do the check when the dialog is launched so that time is very near and to drop the version and simply tell them they’re on the latest or not.

If a user needs the full version information they can get it from about:support.

På ett sätt kan det vara bra att försöka få bort fokus från ”vilken version man har installerad”, men då är det viktigt att de automatiska uppdateringarna fungerar bra och smidigt för användarna.

För en hemanvändare spelar det oftast ingen roll vilken version man använder, utan kan man alltid lätt ha den senaste versionen installerad så är det troligtvis det smidigaste. I ett företagsnätverk kan det dock vara svårare. Först och främst måste användaren ha rättighet att uppdatera programmet, antingen genom att ha skrivrättigheter till programmet, eller att användaren kan autenticera sig som en administratör/någon som har rättigheter. Sedan är det oftare väldigt viktigt att man har kontroll över vilka versioner som körs på klienterna.

Både Google och Mozilla vill att användarna ska strunta i versionsnumren. Istället så ska man köra t.ex. antingen Stable, eller Nightly. Oavsett exakt version.

Asa Dotzler fortsätter:

This feature is a priority of the Firefox UX lead and the Firefox Product lead. It is part of the phasing out of version numbers in Firefox that’s already well under way (though still incomplete.)

Om man gör en koppling till säkerhetsprogram så är det första jag kommer att tänka på att man måste verkligen veta att programmet söker efter uppdateringar, eller att det varnar om det misslyckas (i alla fall efter ett par gånger).

Viss skadlig kod försöker förhindra olika antivirusprogram från att uppdatera. Det är viktigt att de inte lätt kan luras att säga att ”Allt är lugnt! Du har senaste versionen!” fastän det inte stämmer.

Ny trojan infekterar NTFS-loader, använder ”väldigt snygga” trick för att lura användaren att betala

Kaspersky Lab rapporterar om en ny trojan som hittats, ”Cidox”. Istället för att ”bara” infektera MBR som några andra välspridda rootkits så infekterar den NTFS IPL (Initial Program Loader). Den koden den byter ut är den som startar upp resten av systemet (”bootmgr” i Vista och nyare operativsystem, och ”ntldr” i tidigare versioner). Trojanen infekterar endast partitioner som har NTFS som filsystem.

Detta innebär att det kan vara svårare, i alla fall för tillfället, för antivirusprogram att rensa ett infekterat system.

När datorn sedan bootar om så startar den sina egna drivrutiner för att utföra resten av sin skadliga kod. Det den här versionen av trojanen gör är att den söker efter webbläsarna Firefox, Chrome och Opera. Om användaren startar webbläsaren så ser trojanens drivrutin till att den laddar in ytterligare skadlig kod i webbläsaren i form av en DLL-fil.

Användaren får sedan upp en väldigt ”snygg” varning i sin webbläsare om att den behöver säkerhetsuppdateringar:

Cidox-trojan

Cidox-trojanens varning i Firefox

Detta exempel är på ryska, men jag kan lätt tänka mig att användare kan luras av detta (så länge som språket är samma som i deras webbläsare). Man märker att de har lagt ner tid på att få varningen att se verklig ut. I Opera och Chrome så ser varningarna annorlunda ut.

Det som händer när man väljer att ”uppdatera” sin webbläsare från varningen är att trojanen uppmanar användaren att skicka ett SMS med en kod till ett betalnummer, och på så sätt tjänar skaparen av trojanen pengar.

Detta visar på ett nytt sätt att få sin skadliga kod att starta automatiskt, och även att de har lagt ner tid på att få det att se äkta ut.

Förhoppningsvis så vet personerna som har installerat sina webbläsare att de inte behöver betala eller skicka SMS för att få hem uppdateringar till dem..

Fransk firma går runt sandlådan i Google Chrome

Den franska säkerhetsfirman Vupen har hittat hittills okända säkerhetshål i webbläsaren Google Chrome och har lyckats ta sig förbi sandlådan i programmet. Företaget har gjort en video som visar hur hacket går till.

Företag som Vupen hittar säkerhetshål för sina kunders räkning, det är helt enkelt information som företag och regeringar med riktigt små marginaler behöver. De kommer alltså inte att släppa ut detta på öppna marknaden och Google kommer snabbt att hitta hålen själva och täppa till dem.

Computer Sweden skriver: ”En talesman för Google uppger att företaget ännu inte kunnat verifiera om Vupens uppgifter stämmer. Skulle det visa sig att uppgifterna stämmer så kommer Google släppa en uppdatering så snart den är färdig.”

Lyssna på vår podcast om Chrome 10, som var den första versionen av Chrome med sandboxingfunktion: Säkerhetsradion: Chrome 10 kör Flash i sandlåda.

Google fixar Flashbugg före Adobe

Säkerhetshål i Flash har varit ganska vanliga under åren. I måndags avslöjade Adobe att det fanns ett nytt och allvarligt säkerhetshål i Flash och tack vare sitt  samarbete med Adobe har Google lyckats presentera en lösning i Chrome innan Adobe hunnit släppa en uppdaterad version av Flash.

Veckans podcast handlar för övrigt om just Chrome och Flash, den tål att lyssnas på.

Säkerhetsradion – Chrome 10 kör Flash i sandlåda

Veckans podcast handlar om webbläsare och säkerhet, ett ämne som nog borde diskuteras oftare än det gör. Det går inte att komma ifrån att man tillbringar mycket tid i sällskap med webbläsare.

Nyheterna i detta ämne förra veckan. Google kom med en skarp version av Chrome 10, väldigt tätt inpå att Chrome 9 kom ut – den största nyheten är att Flash numera körs i en sandbox – lyssna på podcasten om du vill veta mer.

Ungefär samtidigt gick hackartävlingen Pwn2Own av stapeln i Kanada, och bland andra SvD rapporterar om att Chrome klarade sig oskatt, kanske på grund av att Google patchade en hel del brister strax innan tävlingen.

Google lagar 19 buggar i Chrome 9

Lagom till Pwn2Own, hackertävlingen på CanSecWest-mässan i Kanada, lagar Google 19 buggar och hål i webbläsaren Chrome, det skriver PC För alla. Jag tog upp tävlingen för en månad sedan, eftersom Google har pytsat in rejält med prispengar till den som lyckas hacka Chrome – 20 000 dollar, närmare bestämt. Bäst då att täppa till det mest uppenbara i förväg.

Hacka Google Chrome mot betalning

Ett bra sätt att hitta svagheter i mjukvara är att bjuda in duktiga hackare för att försöka hitta säkerhetshål. Detta gör nu Google inför hackertävlingen Pwn2own som hålls varje år vid CanSecWest-mässan i Vancouver, Computer Sweden skriver om detta här.

20 000 dollar får den som knäcker Chrome och Google har som första företag själva bidragit till prissumman.

En billig biljett till Vancouver kan du köpa här, här eller varför inte här och glöm inte att äta rätt och sova bra fram till den 9 mars, då tävlingen går av stapeln.

Inbyggd pdf-läsare i Chrome skulle kunna hindra attacker

Igår skrev bland andra Michael Jenselius på PC för alla om Googles nya feature i webbläsaren Chrome – inbyggd pdf-läsare. Det betyder att Google tar en egen väg för att möta problemen med skadlig kod som distribueras via svagheter i till exempel Adobes pdf-läsare.

Eftersom det handlar om helt nyskapad mjukvara, så bör tidigare attacker som gjorts mot andra pdf-läsare kunna kontrolleras. Att pdf-läsaren är inbyggd i browsern gör dessutom att den enkelt att uppdatera den, vilket är en klar fördel – det är ju självklart så att ju äldre och mer känt ett säkerhetshål är, desto oftare används det.

Samtidigt finns det en risk att Google introducerar helt nya buggar som går att utnyttja och pdf-formatet har ju varit ett hett byte för nätbrottslingar länge. Intressant är det dock.