Bem-vindo à edição de outubro de 2019 do SSL.com Resumo de segurança, um resumo de fim de mês em que destacamos desenvolvimentos importantes no campo de SSL /TLS, certificados digitais e segurança digital.
Na frente do navegador este mês, O Google decidiu começar bloqueando conteúdo misto no Chrome, e o Mozilla Firefox foi nomeado o navegador mais seguro pela agência de segurança da informação da Alemanha.
Em outras notícias relacionadas à segurança, O sistema de desbloqueio facial do Pixel 4 do Google atualmente falta uma verificação de alerta, Os usuários do Linux devem atualizar sudo, e os pesquisadores do Google publicaram um artigo em Natureza detalhando avanços na computação quântica.
Google bloqueia todo o conteúdo misto no Chrome
O blog Chromium anunciou em 3 de outubro de 2019, o Chrome começará em breve a bloquear todos conteúdo misto, uma condição em que sub-recursos de um HTTPS o site é carregado de maneira insegura sobre HTTP. Até esse momento, os navegadores estavam bloqueando ativo conteúdo misto, como scripts e iframes. Agora o Chrome começará a bloquear passiva conteúdo misto (por exemplo, imagens, áudio e vídeo), que também apresentam riscos à segurança. Por exemplo,
um invasor pode adulterar uma imagem mista de um gráfico de ações para enganar os investidores ou injetar um cookie de rastreamento em uma carga mista de recursos. O carregamento de conteúdo misto também gera um UX confuso para a segurança do navegador, onde a página é apresentada como nem segura nem insegura, mas em algum lugar intermediário.
A mudança do Google para bloquear conteúdo misto ocorrerá em uma série de etapas, começando com o Chrome 79 (lançamento estável em dezembro de 2019) e continuando até o Chrome 81 (lançamento antecipado em fevereiro de 2020).
Para evitar a quebra da Web, na medida do possível, o Chrome tentará atualizar automaticamente os recursos HTTP para HTTPS (se disponível), e os usuários terão permissão para ativar o conteúdo misto site a site.
Agência alemã nomeia Firefox como “navegador mais seguro”
Uma auditoria do Escritório Federal de Segurança da Informação da Alemanha (em alemão, o Escritório Federal de Segurança em Tecnologia da Informaçãoou BMI) declarou que o Mozilla Firefox foi o único navegador testado que atendeu ao mínimo atualizado recentemente pela agência requisitos Para ser considerado seguro (perdoe nossa Alemão) De acordo com ZDNet,
O BSI normalmente usa este guia para aconselhar agências governamentais e empresas do setor privado sobre quais navegadores são seguros.
Os navegadores testados incluem Firefox 68, Chrome 76, IE 11 e Edge 44. ZDNet's artigo também afirma que os testes “não incluíram outros navegadores como Safari, Brave, Opera ou Vivaldi”.
Fique acordado com o seu pixel 4
Como descoberto por Chris Fox na BBC, O smartphone Pixel 4 do Google tem um sistema de desbloqueio facial que “pode permitir o acesso ao dispositivo de uma pessoa, mesmo que ela esteja com os olhos fechados”. Em contraste, o iOS Face ID da Apple inclui uma verificação de alerta que garante que o usuário está acordado e olhando para o telefone. Por sua vez, o Google diz que vai resolver o problema “nos próximos meses. "
Falha no Sudo permite que os usuários executem comandos como raiz
An 14 de outubro história no Hacker News (thehackernews. com, não news.ycombinator.com) descreve uma vulnerabilidade recém-descoberta no arquivo comumente usado sudo
comando que “pode permitir que um usuário malicioso ou um programa execute comandos arbitrários como root em um sistema Linux de destino, mesmo quando a 'configuração sudoers' desautoriza explicitamente o acesso root”.
A falha de segurança, que depende de uma configuração específica do /etc/sudoers
, afeta todas as versões do sudo anteriores à 1.8.28. Pode ser explorado especificando o ID do usuário -1
or 4294967295
na linha de comando.
Revelação da computação quântica no Google
Em 23 de outubro, pesquisadores do Google publicaram um papel in Natureza, relatando que seu novo processador quântico, "Sycamore",
leva cerca de 200 segundos para provar uma instância de um circuito quântico um milhão de vezes - nossos benchmarks atualmente indicam que a tarefa equivalente a um supercomputador clássico de última geração levaria aproximadamente 10,000 anos.
No entanto, uma notícia da CBS artigo indica que alguma controvérsia cerca a descoberta, com pesquisadores da IBM afirmando que o Google "subestimou o supercomputador convencional, chamado Summit, e disse que poderia realmente fazer o cálculo em 2.5 dias". Possivelmente não por coincidência, o Summit foi desenvolvido pela IBM.
Obrigado por visitar SSL.com, onde acreditamos que um mais segura Internet é uma better Internet! Você pode entrar em contato conosco por e-mail em Support@SSL.com, ligar 1-877-SSL-SECUREou clique no link de bate-papo no canto inferior direito desta página.