Google îmbunătățește mereu Chrome. Recent am văzut o actualizare minunată (care a fost mult întârziată). Dar, din păcate, în momentul de față Google a detaliat o problemă gravă și nou descoperită în Chrome, care nu poate fi remediată și totul se rezumă la Windows 10.
În 23 aprilie, James Forshaw a clarificat faptul că Firefox este afectat în același fel, deoarece folosește sandbox-ul Chromium pe care Mozilla îl confirmă. Rezultatul este că cercetarea lui Forshaw expune o vulnerabilitate pentru sandbox-ul tuturor browserelor mari la actualizările din Windows 10. Am urmărit acest lucru la Firefox, Opera, Brave și Microsoft și vom actualiza informația atunci când vom avea mai multe date.
Apoi, pe 25 aprilie Opera Product Security Manager, Cezary Cerekwicki a clarificat: „Opera este un browser bazat pe Chromium și folosește mecanismele sale de sandboxing. Sandbox-ul de securitate al browserului depinde de caracteristicile și securitatea sistemului de operare”, a explicat el, confirmând că Opera a avut aceeași problemă. „Bug-urile la nivel de kernel pot afecta fiecare aplicație care rulează pe sistemul de operare. Sandboxing-ul Chromium este considerat de ultimă generație, însă, similar cu orice sandboxing, se bazează pe nivelurile inferioare de stacks pentru a funcționa corect. Este important pentru fiecare utilizator să își țină sistemul de operare și aplicația la zi pentru a menține mediul computerului cât mai sigur posibil.” Desigur, provocarea pentru orice utilizator de Windows 10 este acum urmărirea actualizărilor care provoacă mai multe probleme decât rezolvă. Mingea este în curtea ta, Microsoft…
În data de 26 aprilie: Există informații suplimentare despre acest exploit pe care utilizatorii Firefox trebuie să le ia în serios. Extinzând raportul său, Forshaw subliniază „același defect pentru că Firefox folosește sandbox-ul Chromium”, dar observă că: „Orișicum, Firefox este într-o poziție mai proastă, deoarece procesează conținut mai bine în interiorul sandbox-ului decât Chrome”.
Explicându-și decizia de a nu se concentra mai mult pe Firefox în raportul său inițial, Forshaw explică: „Nu am încercat să-i desconsider, nu este vina lor că Windows este defect. Cu toate acestea, nu le-aș spune-o nerespectuos, fără a avea dovezi.” Și s-a așteptat răspunsul celor de la Firefox pentru acest caz.
Într-o postare fascinantă intitulată „Nu veți crede ce a făcut această schimbare de linie de cod sandbox-ului de la Chrome”, cercetătorul de proiecte de la Google Project Zero, James Forshaw, a dezvăluit că Chrome se bazează în totalitate pe codul Windows 10 pentru siguranța datelor. Mai mult, Forshaw explică faptul că o nouă actualizare Windows 10 a pătruns recent prin securitatea Chrome cu o singură linie de cod greșit. Având în vedere recenta actualizare a Windows 10, aceasta nu este o siguranță nici pentru browser, nici pentru platformă.
„Sandbox-ul Chromium [un mecanism de securitate pentru a stopa erorile de a se răspândi în alte programe software] pe Windows a rezistat în timp”, explică Forshaw. „Este considerat unul dintre cele mai bune mecanisme de sandboxing, des utilizat, care nu necesită privilegii în plus ca să funcționeze. Totuși, are slăbiciunile sale. Principala fiind că implementarea sandbox-ului depinde de securitatea sistemului de operare Windows. Modificarea comportamentului Windows nu ține de echipa de dezvoltare al Chromium. Dacă se găsește o eroare în mecanismele de aplicare a securității Windows, atunci sandbox-ul poate fi spart.”
Și exact asta s-a și întâmplat. Forshaw afirmă că Microsoft a introdus o actualizare Windows 10 1903 care permite atacurilor online efectuate în browserul Chrome să-i spargă securitatea și să se răspândească prin Windows. Apoi, a găsit mai multe modalități de a trece de securitatea Chrome. În prezentarea diferitelor opțiuni, el a avertizat: „Sper că acest lucru oferă o perspectivă asupra modului în care o schimbare atât de mică în kernel-ul Windows poate avea un impact disproporționat asupra securității mediului pentru sandbox-uri.”
Vestea bună este că Forshaw a alertat Microsoft cu privire la această problemă și compania a emis un patch (CVE-2020-0981) pentru a-l remedia. Acestea fiind spuse, defectul fundamental identificat de Forshaw rămâne: securitatea Google Chrome pe Windows 10 depinde de Microsoft și acest lucru nu poate fi schimbat.
Este important să subliniem că și alte browsere bazate pe Chromium suferă același risc (Opera, Brave, noul browser Edge al Microsoft) și asta înseamnă că este posibil să fiți tentat să renunțați la Windows 10 dacă folosiți mai des browserul dvs. decât sistemul de operare.
Dacă preferați să așteptați, s-ar putea să aveți o speranță deoarece a apărut o recentă recenzie în care Microsoft spune că ar putea face modificări fundamentale la actualizările Windows 10, dar, deocamdată, utilizatorii trebuie să ia o decizie.