Välkommen till oktoberutgåvan av SSL.com Säkerhet Roundup, en sammandrag i slutet av månaden där vi lyfter fram viktig utveckling inom SSL /TLS, digitala certifikat och digital säkerhet.
På webbläsarens front denna månad, Google har beslutat att starta blockerar blandat innehåll i Chrome och Mozilla Firefox har fått namnet säkraste webbläsaren av Tysklands informationssäkerhetsbyrå.
I andra säkerhetsrelaterade nyheter, Googles Pixel 4: s Face Unlock-system för närvarande saknar varningskontroll, Linux-användare bör uppgradera sudo, och Google-forskare har publicerat en artikel i Natur detailing framsteg inom kvantberäkning.
Google för att blockera allt blandat innehåll i Chrome
Chromium-bloggen meddelade den 3 oktober 2019 att Chrome snart börjar blockera allt blandat innehåll, ett tillstånd där underkällor till en HTTPS webbplats laddas osäkert via HTTP. Fram till denna tid har webbläsare blockerat aktiv blandat innehåll som skript och iframes. Chrome börjar nu blockera passiva blandat innehåll (t.ex. bilder, ljud och video), som också utgör säkerhetsrisker. Till exempel,
en angripare kan manipulera med en blandad bild av ett aktiediagram för att vilseleda investerare eller injicera en spårningskaka i en blandad resursbelastning. Laddning av blandat innehåll leder också till en förvirrande webbläsarsäkerhet UX, där sidan presenteras som varken säker eller osäker men någonstans däremellan.
Googles steg för att blockera blandat innehåll kommer att ske i en serie steg som börjar med Chrome 79 (stabil release i december 2019) och fortsätter genom Chrome 81 (tidig release i februari 2020).
För att undvika att bryta webben så långt som möjligt försöker Chrome automatiskt uppgradera HTTP-resurser till HTTPS (om tillgängligt), och användarna tillåter att aktivera blandat innehåll på en webbplats-för-webbplats-grund.
Tyska byrån ger Firefox namnet “Den säkraste webbläsaren”
En granskning av Tysklands federala kontor för informationssäkerhet (på tyska, Federal Office for Security in Information Technology, eller BMI) har förklarat att Mozilla Firefox var den enda testade webbläsaren som uppfyllde byråns nyligen uppdaterade minimum krav att betraktas säker (förlåt vår Deutsche). Enligt ZDNet,
BSI använder normalt denna guide för att ge råd till myndigheter och företag från den privata sektorn om vilka webbläsare som är säkra att använda.
Testade webbläsare inkluderade Firefox 68, Chrome 76, IE 11 och Edge 44. ZDNet Artikeln säger också att testerna "inte inkluderade andra webbläsare som Safari, Brave, Opera eller Vivaldi."
Håll dig vaken runt din Pixel 4
Som upptäckts av Chris Fox på BBC, Googles Pixel 4-smartphone har ett Face Unlock-system som "kan ge åtkomst till en persons enhet även om de har slutna ögon." Däremot innehåller Apples iOS Face ID en vakenhetskontroll som ser till att användaren är vaken och tittar på telefonen. Google säger för sin del att det kommer att lösa problemet ”under de närmaste månaderna. "
Sudo-fel Låter användare köra kommandon som root
An 14 oktober berättelsen i Hacker News (thehackernews.com, Inte news.ycombinator.com) visar en nyupptäckt sårbarhet i det vanligt förekommande sudo
kommando som "kan tillåta en skadlig användare eller ett program att utföra godtyckliga kommandon som root på ett riktat Linux-system även när" sudoers-konfigurationen "uttryckligen inte tillåter root-åtkomst."
Säkerhetsfel, som beror på en specifik konfiguration av /etc/sudoers
fil, påverkar alla versioner av sudo före 1.8.28. Det kan utnyttjas genom att ange användar-ID -1
or 4294967295
på kommandoraden.
Kvantberäkningsgenombrott på Google
Den 23 oktober publicerade forskare på Google en papper in Natur, rapporterar att deras nya kvantprocessor ”Sycamore”
Det tar cirka 200 sekunder att prova en instans av en kvantkrets en miljon gånger - våra riktmärken indikerar för närvarande att motsvarande uppgift för en modern klassisk superdator skulle ta ungefär 10,000 XNUMX år.
Men CBS-nyheter Artikeln indikerar att vissa kontroverser kring upptäckten, med IBM-forskare som uppgav att Google hade "underskattat den konventionella superdatorn, kallad Summit, och sa att den faktiskt kunde göra beräkningen på 2.5 dagar." Kanske inte av en tillfällighet, Summit utvecklades av IBM.
Tack för att du besöker SSL.com, där vi tror a säkrare Internet är en bättre Internet! Du kan kontakta oss via e-post på Support@SSL.com, ring upp 1-877-SSL-SECURE, eller bara klicka på chattlänken längst ner till höger på denna sida.