Willkommen zur Oktoberausgabe 2019 von SSL.com Sicherheitsübersicht, eine Zusammenfassung zum Monatsende, in der wir wichtige Entwicklungen im Bereich SSL / hervorheben.TLS, digitale Zertifikate und digitale Sicherheit.
In diesem Monat im BrowserGoogle hat beschlossen zu starten gemischten Inhalt blockieren in Chrome, und Mozilla Firefox wurde die benannt sicherster Browser von der deutschen Informationssicherheitsbehörde.
In anderen sicherheitsrelevanten NachrichtenDerzeit das Face Unlock-System von Pixel 4 von Google Es fehlt eine WachsamkeitsprüfungLinux-Benutzer sollten sudo aktualisierenund Google-Forscher haben einen Artikel in veröffentlicht Natur Detaillierung Fortschritte im Quantencomputer.
Google blockiert alle gemischten Inhalte in Chrome
Der Chromium-Blog angekündigt Am 3. Oktober 2019 wird Chrome bald damit beginnen, alle zu blockieren gemischter Inhalt, eine Bedingung, bei der Unterressourcen eines HTTPS Website werden unsicher über HTTP geladen. Bis zu diesem Zeitpunkt haben Browser blockiert aktiv gemischte Inhalte wie Skripte und Iframes. Chrome beginnt nun zu blockieren Passiv gemischte Inhalte (z. B. Bilder, Audio und Video), die ebenfalls Sicherheitsrisiken bergen. Beispielsweise,
Ein Angreifer könnte ein gemischtes Bild eines Aktiencharts manipulieren, um Investoren irrezuführen, oder ein Tracking-Cookie in eine gemischte Ressourcenlast einfügen. Das Laden gemischter Inhalte führt auch zu einer verwirrenden Browser-Sicherheits-UX, bei der die Seite weder als sicher noch als unsicher dargestellt wird, sondern irgendwo dazwischen.
Der Schritt von Google, gemischte Inhalte zu blockieren, erfolgt in einer Reihe von Schritten, beginnend mit Chrome 79 (stabile Veröffentlichung im Dezember 2019) und bis Chrome 81 (vorzeitige Veröffentlichung im Februar 2020).
Um eine Unterbrechung des Webs so weit wie möglich zu vermeiden, versucht Chrome, HTTP-Ressourcen automatisch auf HTTPS zu aktualisieren (falls verfügbar), und Benutzer können gemischte Inhalte Site für Site aktivieren.
Deutsche Agentur ernennt Firefox zum „sichersten Browser“
Eine Prüfung durch das Bundesamt für Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik, oder BMI) hat erklärt, dass Mozilla Firefox der einzige getestete Browser war, der das kürzlich aktualisierte Minimum der Agentur erfüllt hat Anforderungen in Betracht gezogen werden sicher (verzeihen Sie unsere Deutsche). Gemäß ZDNet,
Das BSI verwendet diesen Leitfaden normalerweise, um Regierungsbehörden und Unternehmen aus dem privaten Sektor zu beraten, welche Browser sicher zu verwenden sind.
Zu den getesteten Browsern gehörten Firefox 68, Chrome 76, IE 11 und Edge 44. ZDNets Artikel Außerdem heißt es, dass die Tests "keine anderen Browser wie Safari, Brave, Opera oder Vivaldi enthielten".
Bleib wach um dein Pixel 4
Wie von entdeckt Chris Fox bei der BBCDas Pixel 4-Smartphone von Google verfügt über ein Face Unlock-System, mit dem „der Zugriff auf das Gerät einer Person auch bei geschlossenen Augen möglich ist“. Im Gegensatz dazu enthält Apples iOS Face ID eine Wachsamkeitsprüfung, die sicherstellt, dass der Benutzer wach ist und auf das Telefon schaut. Google sagt seinerseits, dass es das Problem beheben wird “in den kommenden Monaten"
Mit Sudo Flaw können Benutzer Befehle als Root ausführen
An 14. Oktober Geschichte in den Hacker News (thehackernews.comnicht news.ycombinator.com) beschreibt eine neu entdeckte Sicherheitslücke in der häufig verwendeten sudo
Befehl, der "einem böswilligen Benutzer oder einem Programm ermöglichen könnte, beliebige Befehle als Root auf einem Linux-Zielsystem auszuführen, selbst wenn die" Sudoers-Konfiguration "den Root-Zugriff explizit verbietet."
Die Sicherheitslücke, die von einer bestimmten Konfiguration des abhängt /etc/sudoers
Datei, betrifft alle Versionen von sudo vor 1.8.28. Es kann durch Angabe der Benutzer-ID ausgenutzt werden -1
or 4294967295
in der Kommandozeile.
Quantum Computing-Durchbruch bei Google
Am 23. Oktober veröffentlichten Forscher bei Google eine Krepppapier in Naturund berichten, dass ihr neuer Quantenprozessor "Sycamore"
Es dauert ungefähr 200 Sekunden, um eine Instanz einer Quantenschaltung millionenfach abzutasten. Unsere Benchmarks zeigen derzeit, dass die äquivalente Aufgabe für einen hochmodernen klassischen Supercomputer ungefähr 10,000 Jahre dauern würde.
Allerdings eine CBS-Nachricht Artikel weist darauf hin, dass das Ergebnis kontrovers diskutiert wird. IBM Forscher gaben an, dass Google "den herkömmlichen Supercomputer namens Summit unterschätzt und die Berechnung tatsächlich in 2.5 Tagen durchgeführt hat". Möglicherweise nicht zufällig wurde Summit von IBM entwickelt.
Vielen Dank für Ihren Besuch auf SSL.com, wo wir glauben, dass a Sicherheit Internet ist ein better Internet! Sie können uns per E-Mail unter kontaktieren Support@SSL.com, Anruf 1-877-SSL-SECUREoder klicken Sie einfach auf den Chat-Link unten rechts auf dieser Seite.