Selamat datang di SSL.com edisi Oktober 2019 Roundup Keamanan, intisari akhir bulan di mana kami menyoroti perkembangan penting di bidang SSL /TLS, sertifikat digital, dan keamanan digital.
Di bagian depan browser bulan ini, Google telah memutuskan untuk memulai memblokir konten campuran di Chrome, dan Mozilla Firefox telah dinamai peramban paling aman oleh badan keamanan informasi Jerman.
Dalam berita terkait keamanan lainnya, Sistem Face Unlock Google Pixel 4 saat ini tidak memiliki pemeriksaan kewaspadaan, Pengguna Linux harus tingkatkan sudo, dan peneliti Google telah menerbitkan makalah di Alam merinci kemajuan dalam komputasi kuantum.
Google untuk Memblokir Semua Konten Campuran di Chrome
Blog Chromium mengumumkan pada 3 Oktober 2019 bahwa Chrome akan segera mulai memblokir semua konten campuran, suatu kondisi di mana sub-sumber dari suatu HTTPS situs web dimuat dengan tidak aman melalui HTTP. Hingga saat ini, peramban telah memblokir aktif konten campuran seperti skrip dan iframe. Chrome sekarang akan mulai diblokir pasif konten campuran (mis. gambar, audio, dan video), yang juga menghadirkan risiko keamanan. Sebagai contoh,
seorang penyerang bisa merusak gambar campuran dari grafik saham untuk menyesatkan investor, atau menyuntikkan cookie pelacakan ke dalam sumber daya campuran. Memuat konten campuran juga menyebabkan UX keamanan browser membingungkan, di mana halaman disajikan sebagai tidak aman atau tidak aman tetapi di suatu tempat di antara keduanya.
Langkah Google untuk memblokir konten campuran akan berlangsung dalam serangkaian langkah yang dimulai dengan Chrome 79 (rilis stabil pada Desember 2019) dan berlanjut hingga Chrome 81 (rilis awal pada Februari 2020).
Untuk menghindari penghancuran web sejauh mungkin, Chrome akan berusaha untuk meningkatkan sumber daya HTTP secara otomatis ke HTTPS (jika tersedia), dan pengguna akan diizinkan untuk mengaktifkan konten campuran berdasarkan situs-demi-situs.
Agensi Jerman Menamai Firefox “Peramban Paling Aman”
Audit oleh Kantor Keamanan Informasi Federal Jerman (dalam bahasa Jerman, Kantor Federal untuk Keamanan dalam Teknologi Informasi, atau BMI) telah menyatakan bahwa Mozilla Firefox adalah satu-satunya browser yang diuji yang memenuhi minimum yang baru-baru ini diperbarui dari agensi tersebut Persyaratan Untuk dipertimbangkan di sini (maafkan kami Deutsche). Menurut ZDNet,
BSI biasanya menggunakan panduan ini untuk memberi saran kepada lembaga pemerintah dan perusahaan dari sektor swasta tentang browser apa yang aman digunakan.
Browser yang diuji termasuk Firefox 68, Chrome 76, IE 11, dan Edge 44. ZDNet's artikel juga menyatakan bahwa pengujian "tidak menyertakan browser lain seperti Safari, Brave, Opera, atau Vivaldi".
Tetap Bangun Sekitar Pixel Anda 4
Seperti yang ditemukan oleh Chris Fox di BBC, Ponsel cerdas Google Pixel 4 memiliki sistem Face Unlock yang "dapat mengizinkan akses ke perangkat seseorang meskipun mata mereka tertutup". Sebaliknya, ID Wajah iOS Apple memang menyertakan pemeriksaan kewaspadaan yang memastikan bahwa pengguna terjaga dan melihat telepon. Sementara itu, Google mengatakan akan memperbaiki masalah "dalam beberapa bulan mendatang. "
Sudo Flaw Memungkinkan Pengguna Menjalankan Perintah sebagai Root
An Cerita 14 Oktober dalam Berita Peretas (thehackernews.com, tidak berita.ycombinator.com) menguraikan kerentanan yang baru ditemukan di yang umum digunakan sudo perintah yang "dapat mengizinkan pengguna atau program jahat untuk menjalankan perintah sewenang-wenang sebagai root pada sistem Linux yang ditargetkan meskipun 'konfigurasi sudoers' secara eksplisit melarang akses root."
Kelemahan keamanan, yang tergantung pada konfigurasi spesifik dari /etc/sudoers file, mempengaruhi semua versi sudo sebelum 1.8.28. Itu dapat dieksploitasi dengan menentukan ID pengguna -1 or 4294967295 di baris perintah.
Terobosan Komputasi Quantum di Google
Pada 23 Oktober, para peneliti di Google menerbitkan a kertas in Alam, melaporkan bahwa prosesor kuantum baru mereka, "Sycamore",
membutuhkan sekitar 200 detik untuk mengambil contoh satu rangkaian kuantum satu juta kali — tolok ukur kami saat ini menunjukkan bahwa tugas yang setara untuk superkomputer klasik canggih akan membutuhkan waktu sekitar 10,000 tahun.
Namun, berita CBS artikel menunjukkan bahwa beberapa kontroversi seputar temuan tersebut, dengan peneliti IBM menyatakan bahwa Google telah "meremehkan superkomputer konvensional, yang disebut Summit, dan mengatakan itu sebenarnya dapat melakukan perhitungan dalam 2.5 hari." Mungkin bukan kebetulan, Summit dikembangkan oleh IBM.
Terima kasih telah mengunjungi SSL.com, tempat kami percaya a lebih aman Internet adalah lebih baik Internet! Anda dapat menghubungi kami melalui email di Support@SSL.com, panggil 1-877-SSL-SECURE, atau cukup klik tautan obrolan di kanan bawah halaman ini.
