Chyby v prohlížečích, které v nich byly klidně deset let Jiří Nápravník
1
Jednotlivé části • • • • • • •
Důvod vytvoření analýzy Podíl na trhu mezi prohlížeči Podíl na trhu mezi op. systémy Způsob analýzy a použité zdroje Prohlížeče – počty chyb, rychlost opravy, atd. Operační systémy – počty chyb, rychlost opravy .. Ukázka kritických chyb v prohlížečích i operačních systémech 2
Důvod vytvoření analýzy • Názor “odborníků” na IT bezpečnost “Uživatel si musí svůj počítač zabezpečit, jinak je idiot!!” • Jak je možné, že uživateli, který používal antivir, firewall a instaloval opravné balíčky někdo odcizil a zneužil jeho dig. certifikát (privátní klíč)? 3
Podíl na trhu mezi prohlížeči • Podíl podle W3C (celosvětově) 50
45
40
35
30 MSIE Firef ox
25 22,4
Chrome Opera ostatní
20
15
10
5
0 Podíl v procentech
4
Podíl na trhu mezi OS • Podíl podle W3C (celosvětově) 50
47,2
45
40
35
30 Win 7 V ista
25
Win XP Win 2000 20
Linux Mac X os tatní
15
10
5
0 Podíl v procentec h
5
Podíl na trhu mezi OS • Windows a ostatní OS 90
80
70
60
50
Window s Linux Mac X
40
os tatní
30
20
10
0 Podíl v procentec h
6
Zdroje pro analýzu cve.mitre.org, kb.cert.org vdb.dragonsoft.com + stránky výrobců Microsoft Mozilla Google Apple 7
Způsob provedení analýzy • Shromáždění dat o chybách • Shromáždění informací o tom, kterých verzí se chyba týká • Datum zveřejnění informací o chybě
8
Prohlížeče Součástí analýzy byla prověrka těchto prohlížečů www stránek : – Microsoft Internet Explorer – Mozila Firefox – Google Chrome – Opera
9
Prohlížeče - Firefox • Počet chyb do konce roku 2010 180 160
• • • •
3.6 3.5 3.0 2.0 -
85 135 161 154
140 120 100
3.6 3.5
80
3.0 2.0
60 40 20 0 Firefox
10
Prohlížeče - Chrome • Počet chyb do konce roku 2010 60
• • • • •
87654-
3 23 20 56 35
50
40
8 30
7 6 5 4
20
10
0 Chrome
11
Prohlížeče - Opera • Počet chyb do konce roku 2010 60
• • • •
11 - 0 10 - 28 9 - 56 8 - 47
50
40
11 30
10 9 8
20
10
0 Opera
12
Stejná chyba ve více verzích
Z popisu chyb, z určení opravných balíčlů a z exploitů byl vytvořen souhr chyb, které se vyskytují v nejnovější verzi prohlížeče a ve starších verzích.
13
Prohlížeče – stejná chyba ve více verzích v roce 2010 90 80
• MSIE 8 – 50 - 48 • Firefox 3.6- 85 - 0
70 60 50
• Chrome 8
-3 -0
• Opera 11
-0 -0
11 10
40 30 20 10 0 MSIE
Firefox 3.6
Chrome 8
Opera 11
14
Prohlížeče – MSIE Chyba – CVE-2011-0038 při návštěvě upravených www stránek dochází k instalaci upravené knihovny IEShims.dll. Útočník tak může získat vzdálený přístup do počítače a stejná práva jako lokální uživatel. • Chyba se týká verzí 8, 7 a 6 • Již je k dispozici opravný patch • Úroveň nebezpečnosti – Extrémně kritická 15
Operační systémy Vzhledem k dominanci operačních systémů Windows na desktopech byla analýza zaměřena především na výrobky společnosti Microsoft.
16
Operační systémy Způsob distribuce : • Windows – SW, který je možné zakoupit • Linux – Open Source Software • Mac OS – neprodejný součást počítačů Apple
17
Operační systémy - Windows • Počet chyb do konce roku 2010 450 400
• • • •
WIN 7 WIN Vista WIN XP WIN 2000
-
80 237 408 293
350 300 250
7
200
V ista XP 2000
150 100 50 0 Window s
18
Operační systémy - Windows • Počet společných chyb do konce roku 2010 90 80 70
– – – –
WIN 7 WIN 7- Vista WIN 7- XP WIN 7- 2000
-
80 74 54 31
60 50
7
40
V ista XP 2000
30 20 10 0 Window s
19
Operační systémy - Windows Společné chyby Win 7 – Win XP :
54 chyb z toho 39 kritických Windows XP byly uvedeny na trh v roce 2001
20
Operační systémy - Windows Společné chyby Win 7 – Win 2000 :
31 chyb z toho 23 kritických Windows 2000 byly uvedeny na trh v roce 1999
21
Operační systém Windows Chyba – CVE-2010-3959 přes chybu v OTF (Open Type Font) ovladači může útočník spusti upraveny OTF font a touto cestou získat plný přístup do systému. • Chyba se týká verzí 7, Vista a XP • Již je k dispozici opravný patch • Úroveň nebezpečnosti – Velmi kritická
22
Operační systém Windows Chyba – CVE-2010-1263 ve WordPadu, přes WebDAV nebo jiné sdílení je možné s otevření souboru spustit současně připravený škodlivý program, kterým útočník získá vzdálený přístup na počítač a stejná oprávnění jako přihlášený uživatel. • Chyba se týká verzí 7, Vista a XP • Již je k dispozici opravný patch • Úroveň nebezpečnosti – Velmi kritická 23
Operační systém Windows A mnoho, mnoho dalších chyb !!! Ve Windows 7, Vista a XP je 54 chyb, které jsou shodné pro všechny verze. Minimálně 54 chyb bylo ve Windows 10 let. Opravdu byly odhaleny až v roce 2010!!
24
Děkuji Vám za pozornost
Jiří Nápravník
[email protected]
25
