Bienvenido a la edición de octubre de 2019 de SSL.com Resumen de seguridad, un resumen de fin de mes donde destacamos importantes desarrollos en el campo de SSL /TLS, certificados digitales y seguridad digital.
En el frente del navegador este mes, Google ha decidido comenzar bloqueo de contenido mixto en Chrome, y Mozilla Firefox ha sido nombrado navegador más seguro por la agencia de seguridad de la información de Alemania.
En otras noticias relacionadas con la seguridad., El sistema de desbloqueo facial de Pixel 4 de Google actualmente carece de un control de alerta, Los usuarios de Linux deberían actualizar sudo, y los investigadores de Google han publicado un artículo en Naturaleza detallando avances en computación cuántica.
Google para bloquear todo el contenido mixto en Chrome
El blog de cromo anunció el 3 de octubre de 2019, Chrome pronto comenzará a bloquear todo contenido mixto, una condición donde los subrecursos de un HTTPS El sitio web se carga de forma insegura a través de HTTP. Hasta este momento, los navegadores han estado bloqueando lector activo contenido mixto como scripts e iframes. Chrome ahora comenzará a bloquear pasivo contenido mixto (por ejemplo, imágenes, audio y video), que también presentan riesgos de seguridad. Por ejemplo,
un atacante podría alterar una imagen mixta de un gráfico de acciones para engañar a los inversores o inyectar una cookie de seguimiento en una carga de recursos mixtos. La carga de contenido mixto también conduce a una confusa UX de seguridad del navegador, donde la página se presenta como no segura ni insegura, sino en algún punto intermedio.
El movimiento de Google para bloquear el contenido mixto se llevará a cabo en una serie de pasos que comenzarán con Chrome 79 (lanzamiento estable en diciembre de 2019) y continuarán hasta Chrome 81 (lanzamiento anticipado en febrero de 2020).
Para evitar romper la web en la medida de lo posible, Chrome intentará actualizar automáticamente los recursos HTTP a HTTPS (si está disponible), y los usuarios podrán habilitar contenido mixto sitio por sitio.
La agencia alemana nombra a Firefox como el "navegador más seguro"
Una auditoría de la Oficina Federal de Seguridad de la Información de Alemania (en alemán, el Oficina Federal de Seguridad en Tecnología de la Información, o BMI) ha declarado que Mozilla Firefox fue el único navegador probado que cumplió con el mínimo actualizado recientemente de la agencia. requisitos para ser considerado Sichere (perdón nuestro Alemán). De acuerdo a ZDNet,
El BSI normalmente utiliza esta guía para asesorar a las agencias gubernamentales y empresas del sector privado sobre qué navegadores son seguros de usar.
Los navegadores probados incluyeron Firefox 68, Chrome 76, IE 11 y Edge 44. ZDNet's artículo también afirma que las pruebas "no incluyeron otros navegadores como Safari, Brave, Opera o Vivaldi".
Mantente despierto alrededor de tu Pixel 4
Según lo descubierto por Chris Fox en la BBC, El teléfono inteligente Pixel 4 de Google tiene un sistema de desbloqueo facial que "puede permitir el acceso al dispositivo de una persona incluso si tiene los ojos cerrados". Por el contrario, el Face ID de iOS de Apple incluye un control de alerta que asegura que el usuario esté despierto y mirando el teléfono. Por su parte, Google dice que solucionará el problema "en los próximos meses."
La falla de Sudo permite a los usuarios ejecutar comandos como root
An 14 de octubre historia en las noticias del pirata informático (thehackernews.comno, noticias.ycombinator.com) describe una vulnerabilidad recién descubierta en los de uso común sudo comando que "podría permitir que un usuario malintencionado o un programa ejecute comandos arbitrarios como root en un sistema Linux objetivo, incluso cuando la 'configuración de sudoers' explícitamente no permite el acceso de root".
La falla de seguridad, que depende de una configuración específica del /etc/sudoers archivo, afecta a todas las versiones de sudo anteriores a 1.8.28. Se puede explotar especificando la ID de usuario -1 or 4294967295 en la línea de comando.
Avance de la computación cuántica en Google
El 23 de octubre, los investigadores de Google publicaron un in Naturaleza, informando que su nuevo procesador cuántico, "Sycamore",
toma alrededor de 200 segundos para probar una instancia de un circuito cuántico un millón de veces; nuestros puntos de referencia actualmente indican que la tarea equivalente para una supercomputadora clásica de vanguardia tomaría aproximadamente 10,000 años.
Sin embargo, una noticia de CBS artículo indica que existe cierta controversia en torno al hallazgo, y los investigadores de IBM afirmaron que Google había "subestimado la supercomputadora convencional, llamada Summit, y dijo que en realidad podría hacer el cálculo en 2.5 días". Posiblemente no por casualidad, Summit fue desarrollado por IBM.
Gracias por visitar SSL.com, donde creemos que Safer Internet es un mejor ¡Internet! Puede contactarnos por correo electrónico a Support@SSL.com, llamada 1-877-SSL-SECURE, o simplemente haga clic en el enlace de chat en la parte inferior derecha de esta página.
