Velkommen til oktoberutgaven av SSL.com Sikkerhet Roundup, en sammendrag på slutten av måneden der vi fremhever viktige utviklinger innen SSL /TLS, digitale sertifikater og digital sikkerhet.
På nettleserfronten denne måneden, Google har bestemt seg for å starte blokkerer blandet innhold i Chrome, og Mozilla Firefox har fått navnet sikreste nettleser av Tysklands informasjonssikkerhetsbyrå.
I andre sikkerhetsrelaterte nyheter, Googles Pixel 4s Face Unlock-system for øyeblikket mangler en våkenhetskontroll, Linux-brukere bør oppgradere sudo, og Google-forskere har publisert en artikkel i Natur detaljering fremskritt innen kvanteberegning.
Google for å blokkere alt blandet innhold i Chrome
Chromium-bloggen annonsert 3. oktober 2019 om at Chrome snart begynner å blokkere alt blandet innhold, en tilstand der subresources of an HTTPS nettstedet lastes usikkert via HTTP. Fram til denne tiden har nettlesere blokkert aktiv blandet innhold som skript og iframes. Chrome begynner nå å blokkere passiv blandet innhold (f.eks. bilder, lyd og video), som også utgjør sikkerhetsrisikoer. For eksempel,
en angriper kan tukle med et blandet bilde av et aksjekart for å villede investorer, eller injisere en sporingskake i en blandet ressursbelastning. Innlasting av blandet innhold fører også til en forvirrende nettlesersikkerhet UX, der siden presenteres som verken sikker eller usikker, men et sted i mellom.
Googles bevegelse for å blokkere blandet innhold vil finne sted i en serie trinn som begynner med Chrome 79 (stabil utgivelse i desember 2019) og fortsetter gjennom Chrome 81 (tidlig utgivelse i februar 2020).
For å unngå å bryte nettet så langt det er mulig, vil Chrome forsøke å automatisk oppgradere HTTP-ressurser til HTTPS (hvis tilgjengelig), og brukere vil tillate å aktivere blandet innhold på en side-for-side-basis.
Det tyske byrået kaller Firefox “den sikreste nettleseren”
En revisjon av Tysklands føderale kontor for informasjonssikkerhet (på tysk, den Federal Office for Security in Information Technology, eller BMI) har erklært at Mozilla Firefox var den eneste testede nettleseren som oppfylte byråets nylig oppdaterte minimum krav å bli vurdert sikker (Unnskyld vår Deutsche). I følge ZDNet,
BSI bruker vanligvis denne guiden for å gi råd til offentlige etater og selskaper fra privat sektor om hvilke nettlesere som er trygge å bruke.
Testede nettlesere inkluderte Firefox 68, Chrome 76, IE 11 og Edge 44. ZDNet's Artikkel sier også at testene "ikke inkluderte andre nettlesere som Safari, Brave, Opera eller Vivaldi."
Hold deg våken rundt Pixel 4
Som oppdaget av Chris Fox på BBC, Googles Pixel 4-smarttelefon har et Face Unlock-system som "kan gi tilgang til en persons enhet, selv om de har lukkede øyne." I motsetning til dette inkluderer Apples iOS Face ID en våkenhetskontroll som sørger for at brukeren er våken og ser på telefonen. Google sier på sin side at det vil løse problemet “i de kommende månedene».
Sudo-feil lar brukere kjøre kommandoer som rot
An 14. oktober-historien i Hacker News (thehackernews.com, Ikke news.ycombinator.com) skisserer en nyoppdaget sårbarhet i det ofte brukte sudo
kommando som "kan tillate en ondsinnet bruker eller et program å utføre vilkårlige kommandoer som root på et målrettet Linux-system, selv når" sudoers-konfigurasjonen "eksplisitt ikke tillater root-tilgangen."
Sikkerhetsfeilen, som avhenger av en spesifikk konfigurasjon av /etc/sudoers
fil, påvirker alle versjoner av sudo før 1.8.28. Det kan utnyttes ved å spesifisere bruker-ID -1
or 4294967295
på kommandolinjen.
Quantum Computing Gjennombrudd hos Google
23. oktober publiserte forskere ved Google a papir in Natur, rapporterer at deres nye kvanteprosessor, “Sycamore”,
Det tar omtrent 200 sekunder å prøve en forekomst av en kvantekrets en million ganger - referansepunktene våre indikerer for tiden at den tilsvarende oppgaven for en moderne klassisk superdatamaskin vil ta omtrent 10,000 år.
En CBS-nyhet Artikkel indikerer at noen kontroverser rundt funnet, med IBM-forskere som sa at Google hadde "undervurdert den konvensjonelle superdatamaskinen, kalt Summit, og sa at den faktisk kunne gjøre beregningen på 2.5 dager." Muligens ikke tilfeldig, Summit ble utviklet av IBM.
Takk for at du besøkte SSL.com, der vi tror a sikrere Internett er et bedre Internett! Du kan kontakte oss på e-post på Support@SSL.com, anrop 1-877-SSL-SECURE, eller bare klikk på chat-koblingen nederst til høyre på denne siden.