HARD CORE SECURITY LAB

W ciągu ostatnich kilku dni ukazały się nowe wersje dwóch przeglądarek internetowych. Popularny Firefoks doczekał się wersji oznaczonej numerem 3.6, natomiast wciąż zwiększający swój udział w rynku Google Chrome dostępny jest już w wersji 4.0. Oprócz kilku zmian technologicznych oraz rozszerzeń funkcjonalności, nowe wersje znanych przeglądarek zostały również wyposażone w nowe mechanizmy bezpieczeństwa. Czy więc możemy się czuć bezpieczniej?

Ognisty Lisek w wersji 3.6 przyniósł nam obsługę Personas, niewielką zmianę wyglądu, lepszą obsługę HTML5 oraz usprawnienia dotyczące wydajności. Firefox doczekał się również zmian w zakresie bezpieczeństwa. Zmiany te dotyczą przede wszystkim wewnętrznej obsługi systemu dodatków. Debiutujący mechanizm Component Directory Lockdown wprowadza bowiem większy nadzór nad dodatkami i nie pozwala na ich potajemną instalację. Zaś z punktu widzenia użytkownika, na szczególną uwagę zasługuje funkcja wykrywania przestarzałych (czyli potencjalnie niebezpiecznych) wtyczek (takich jak Java, Shockwave Flash, Silverlight, itd.). Jako, że luki odkrywane w tego typu oprogramowaniu są coraz częściej wykorzystywane do przeprowadzania niebezpiecznych ataków, funkcja ta z pewnością podnosi bezpieczeństwo naszego systemu. Szkoda tylko, że mechanizm nie został w pełni zintegrowany z samą przeglądarką. W celu skorzystania z funkcji Plugin Check zmuszeni jesteśmy bowiem do odwiedzenia specjalnej strony internetowej.

Nowy Google Chrome to przede wszystkim długo oczekiwany system rozszerzeń, możliwość synchronizacji zakładek online oraz lepsza obsługa HTML5. Wersja 4.0 wprowadza również kilka nowości w zakresie bezpieczeństwa. Obsługa mechanizmu Strict Transport Security pozwala na wymuszanie bezpiecznych połączeń, natomiast eksperymentalna funkcja XSS Auditor ma nam zapewniać ochronę przed atakami typu cross-site-scripting.

Wygląda więc na to, że twórcy przeglądarek coraz większą uwagę przywiązują do nowatorskich zabezpieczeń. Nowe wersje przeglądarek są więc bezpieczniejsze, czy jednak możemy sobie pozwolić na uśpienie naszej czujności? Zdecydowanie nie.

Nie dalej bowiem jak wczoraj opublikowany został exploit Proof of Concept powodujący awaryjne zakończenie pracy przeglądarki Firefox w najnowszej wersji 3.6. Exploit ten wykorzystuje błędy w mechanizmach przetwarzania dokumentów XML i jest dostępny dla każdego pod następującym adresem (po jego pobraniu i rozpakowaniu wystarczy uruchomić plik poc.html). Odkrywca błędu zapowiedział również opublikowanie w najbliższym czasie informacji na temat kolejnej luki w przeglądarce Internet Explorer 8. Natomiast użytkownicy starszych wersji przeglądarki z firmy Microsoft mają już dziś kolejne powody do zmartwień, bowiem właśnie pojawił się exploit powodujący awaryjne zakończenie pracy oprogramowania IE 6 oraz 7.

Widać więc wyraźnie, że pomimo usilnych starań twórców, obecna generacja przeglądarek internetowych nadal nie zapewni nam w stu procentach bezpiecznej i stabilnej pracy...