Artykuły dotyczące tematu: Chrome

dodany: 04.04.2013 | tagi: , , , ,

Szykują się spore zmiany w Chromie

0

Zespół Google podał do informacji, iż kończy z wykorzystywaniem WebKita – opensource’owego silnika stworzonego przez Apple, który jest wykorzystywany także w przeglądarce Safari. W zamian za to używany będzie jego fork, który został nazwany Blink. Warto dodać, że sam WebKit jest także forkiem silnika KHTML linuksowej przeglądarki Konqueror, a powstał w 2001 roku w wyniku przeportowania go przez Apple na Maca.

Nowy silnik został już zademonstrowany w ramach projektu Chromium, na którym bazuje przeglądarka Google. Jak nietrudno się domyślić, konkurencyjna Opera także przyłączyła się do nowego projektu. Wcześniej w lutym Opera zapowiedziała przejście na WebKita.

Stworzeniu forka przyświeca chęć zwiększenia prędkości renderowania stron oraz ułatwienia życia projektantom stron. W Chromium zrezygnowano z WebKita ze względu na trudność implementacji wieloprocesowej architektury. Gdy w 2008 roku powstał Chrome, to ówczesny WebKit nie oferował wyżej wymienionej architektury, którą wprowadzono w drugiej edycji silnika w 2010 roku. Rozłąka z WebKitem ma też ułatwić jego dalszy rozwój, gdyż dotychczas coraz trudniej było zapewnić bezproblemowe wykorzystanie przy jednoczesnym rozwoju silnika. Decyzja Google jest spowodowana także tylko częściowym wykorzystywaniem WebKita – np. w Chrome są zupełnie inne mechanizmy zarządzania procesami odpowiedzialnymi za karty.

Twórcy zastrzegają, że Blink nie powinien nastręczać problemów web developerom. Autorzy projektu   zapowiedzieli też współpracę z innymi twórcami przeglądarek, aby zapewnić jak największą kompatybilność.

Zainteresowanych szczegółami odsyłamy do FAQ  Blinka.

dodany: 11.03.2013 | tagi: , , , , ,

Firefox i Chrome załatane dwa dni po odkryciu nieznanych eksploitów na Pwn2Own

0

6 marca rozpoczął się konkurs Pwn2Own, który oferuje ponad pół miliona dolarów w gotówce oraz inne nagrody dla pierwszej osoby, która odkryje słabość wybranego celu. Pierwszego dnia w menu znalazły się  przeglądarki Firefox na Windowsie 7, Internet Explorer na Windowsie 7 (9) i 8 (10), Firefox na Windowsie 7 oraz Safari na OS X Mountain Lion oraz wtyczki w IE 9  Adobe Reader IX i Adobe Flash oraz Java od Oracle.  Jeszcze tego samego dnia padły przeglądarki Firefox, Internet Explorer 10, Chrome i wtyczka Java. Safari została ostatnim, jeszcze niezdobytym bastionem wśród przeglądarek.

Drugiego dnia padły wtyczki Adobe Reader IX i Adobe Flash oraz ponownie Java.

8 marca Mozilla i Google wypuściły aktualizacje naprawiające znalezione dzień wcześniej eksploity.

Firefox przeszedł do wersji 19.0.2 naprawiając Use-after-free w edytorze HTML:

mozilla_advisory

Exploit występował tylko na komputerach z systemem operacyjnym Windows, dlatego jeśli jesteście użytkownikami Firefoksa na Linuksie czy Macu nie musicie niczego aktualizować.

Chrome przeszło do wersji 25.0.1364.160 naprawiając Type confusion in WebKit.

chrome-update

Microsoft nie był tak szybki z aktualizacją swoich wersji przeglądarek i zapowiedział, że aktualizacja, która pojawi się jutro  z przyczyn oczywistych nie będzie zawierać eksploitów znalezionych w czasie konkursu. Najprawdopodobniej poprawki znajdą się w następnych Patch Tuesday – w kwietniu.

Gdyby jednak udało się im wypuścić poprawkę przed kolejnym Patch Tuesday, Microsoft mógłby na tym dużo zyskać. Byłby to fantastyczny manewr marketingowy. Ale jedynym, co nam pozostaje, to czekać.

dodany: 27.12.2012 | tagi: , ,

Google blokuje możliwość „cichej” instalacji dodatków do Chrome

2

Po wielu przypadkach „potajemnych” instalacji rozszerzeń do Chrome 25, Google postanowiło uporać się z tym problemem.
Kompania ogłosiła, że teraz, kiedy aplikacja firmy trzeciej podejmie próbę instalacji, wywołane zostanie okno dialogowe, które wyświetlane będzie dopóki sam użytkownik nie potwierdzi chęci instalacji. Inaczej rozszerzenie pozostanie wyłączone.
Google twierdzi, że technika znana jako sideloading (czyli instalacja rozszerzeń spoza Chrome Web Store) pierwotnie została zaprojektowana dla ułatwienia aplikacjom dodawania odpowiednich rozszerzeń do Chrome przez modyfikację rejestru w trakcie instalacji.

Funkcja ta jednak została powszechnie nadużywana przez osoby trzecie – mówią przedstawiciele kompanii. Nadużywanie możliwości rozszerzeń oraz dodatków, to nic nowego w świecie przeglądarek. Ponad rok temu Firefox 8 wprowadził podobne funkcje, które zwalniały instalację dodatków do Mozilli. Kolejną, podobną do Mozilli zmianą w Chrome 25 jest wyłączenie wszystkich uprzednio zainstalowanych rozszerzeń pochodzących od firm trzecich. Ideą tej zmiany jest zapewnienie użytkownikom kontroli nad zainstalowanymi na swoich przeglądarkach rozszerzeniami oraz poszerzenie świadomości tego, co już zostało dodane do opcji konfiguracji ich przeglądarki.

Na przyszłość, do dodawania rozszerzeń, Google zaleca programistom Windows używanie ich wbudowanego mechanizmu instalacji. Ma to pozwolić na instalację rozszerzeń z Google Web Store „w tle” wtedy, kiedy pojawią się na stronie dostawcy.

dodany: 07.11.2012 | tagi: , , , ,

Google Chrome wspiera Do Not Track

1

Google wypuściło nową wersję przeglądarki Chrome, sygnowanej numerem 23.0.1271.64. Podczas gdy dla systemu Mac OS X wystąpiły zaledwie 2 poważne problemy, w przypadku wersji pod system Windows, w aktualizacji tej naprawiono aż 6 poważnych błędów dotyczących bezpieczeństwa.

Najciekawszą jednak funkcją jest wspieranie narzędzia Do Not Track – dotychczas, aby z tego skorzystać, należało zainstalować dodatkowy plugin. O pojawieniu się tej funkcji wiadomo było już jakiś czas temu – zobacz newsa. Drugą istotną nowością jest możliwość wykorzystywania GPU w przypadku akceleracji wideo – dotyczy to jednak wyłącznie systemu Windows – Google chwali się, że dzięki temu, w przypadku komputerów przenośnych, może to dać nawet o 25% dłuższy czas pracy na baterii.

Wszystkie 14naprawionych błędów zostało zgłoszone pod następującymi CVE:
CVE-2012-5128CVE-2012-5126, CVE-2012-5123CVE-2012-5124, CVE-2012-5125CVE-2012-5127, CVE-2012-5115CVE-2012-5120CVE-2012-5116, CVE-2012-5117CVE-2012-5118, CVE-2012-5119CVE-2012-5121CVE-2012-5122.

dodany: 27.09.2012 | tagi: , , ,

Chrome 22 załata ponad 40 luk bezpieczeństwa

0

Google niedawno ogłosił wydanie Chrome 22, który będzie zawierać poprawki dla 42 znalezionych luk.

„Program nagród Google za odpowiedzialne ujawnianie luk w zasobach spółki okazał się wielkim sukcesem nie tylko dla samej spółki, ale także dla niezależnych łowców luk, takich jak Siergiej Głazunow, który był jednym z najlepszych współpracowników od 2010 roku. Tym razem zdołał zdobyć 15 000$ za znalezienie błędów cross-site scripting w obsłudze  i silniku Chrome V8”.

Glazunow był jednym z dwóch badaczy bezpieczeństwa, którzy zhakowali Chrome na konkursie Pwnium w marcu, co przyniosło mu 60 000$, co razem daje 75 000$. A rok się jeszcze nie skończył.

Zazwyczaj najlepszą nagrodą dla badaczy jest 3133,70$, ale zespół bezpieczeństwa ogłosił, że w  „specjalnych” sprawach będą to dużo wyższe kwoty. Taką decyzją Google ustanowiło rekord wypłacanych nagród za odkrywanie i raportowanie błędów w Chrome. Poprzedni rekord wynosił 26511$ dla luk zamkniętych w Chrome 15 w październiku ubiegłego roku.

Czas zakasać rękawy i brać się do roboty. Można zebrać całkiem pokaźną sumkę.

dodany: 17.09.2012 | tagi: , , ,

Google Chrome będzie wspierać „Do Not Track”

0

Google wreszcie dodało wsparcie dla DNT (Do Not Track) w ich ostatniej wersji developerskiej Chrome  Modyfikacja najprawdopodobniej będzie dodana do oficjalnego wydania popularnej przeglądarki internetowej przed końcem tego roku.

Do Not Track to funkcja, która pozwala użytkownikom wyrazić proste „tak” lub „nie” w preferencjach bycia śledzonym online. Chrome jest ostatnią z głównych przeglądarek, która zapewniać będzie wsparcie dla DNT, co oznacza, że 2013 rok zapowiada się być bardzo ważnym rokiem dla prywatności internetowej.

Preferencja DNT każe przeglądarce wysłać sygnał (nagłówek HTTP) do stron internetowych, która mówi: DNT:1 dla  „to nie jest OK, że mnie śledzisz” i DNT:0 dla  „to OK, że mnie śledzicie”.

Obecnie strony nie są zobowiązane do przestrzegania tych sygnałów i na ten moment jest tak, że większość stron internetowych nie są funkcjonalnie w stanie ich przestrzegać (z honorowym wyjątkiem Twittera). Tak więc w praktyce warunki  DNT nie są na dziś możliwym sposobem ochrony prywatności w Internecie i nie będą w najbliższym czasie.

Do Not Track ma poparcie rządów krajów Europejskich i USA oraz liderów branży, takich jak Adobe, Microsoft, Google czy Mozilla. Pomimo wszystkich swoich usterek, jest to jedyna pozycja w dziale prywatności w sieci.

Użytkownicy mogą tylko wyrazić preferencję DNT, jeśli mają przeglądarkę, która wie, jak wysłać nagłówek DNT i dlatego wsparcie dla DNT z Chrome, jednej z najpopularniejszych przeglądarek, jest tak ważnym korkiem naprzód.

2013 będzie rokiem, w którym większość głównych przeglądarek internetowych będzie zdolna powiedzieć stronom internetowych swoje preferencje śledzenia.

Jedyną przeglądarką, która  „z urzędu” uruchomi DNT  będzie Internet Explorer 10. Reszta będzie zakładać, że nie wyrażają żądnych preferencji, do momentu, w którym użytkownik sam zdecyduje co chce wybrać i sam aktywuje DNT.

Ciesząc się, że wszyscy główni gracze na rynku przeglądarek zdecydowali się na wsparcie DNT to Microsoft jawi się jako wychodzący  „po angielsku” tylnymi drzwiami.

 

dodany: 13.09.2012 | tagi: , , ,

Google wzmacnia Chrome dla Androida

0

Google wydał aktualizację dla swojej przeglądarki Chrome dla systemu Android, z naciskiem na zwiększenie jej bezpieczeństwa.

Według Jay’a Civelli, Google Software Engineer, który pisał dziś na blogu, że ostatnia aktualizacja Chrome umacnia swoją piaskownicę. Android i stacjonarne wersje przeglądarki używają multiprocesowej architektury w celu zapewnienia, że jeśli jedna karta się zawiesi czy ulegnie awarii, to nie ma to wpływu na inne otwarte karty, lub wpływa na ich minimalną liczbę.

System operacyjny Android sam także wykorzystuje unikatowe identyfikatory użytkownika, aby utworzyć każdy proces, który rozciąga się na każdej karcie, bo są to odrębne procesy same w sobie. Wiążąc ze sobą te dwa pojęcia na poziomie jądra izolowanych aplikacji, gdzie karty są w stanie przechwycić informacje o innych kartach i mają ograniczony dostęp do systemu operacyjnego.

Chrome jednak ciągle pozostaje dostępna dla systemu Android Ice Cream 4.0 i nowszych.

Źródło: ZDNet

dodany: 03.09.2012 | tagi: , ,

Google wydaje Chrome 21

0

Nowa wersja Google Chrome 21 naprawia trzy wysoko priorytetowe kwestie bezpieczeństwa w popularnej przeglądarce internetowej. Google zapłacił 3500$ trzem niezależnym badaczom bezpieczeństwa za informacje na temat luk w zabezpieczeniach w produkcie. Poprawki dla tych luk zostały wprowadzone do nowej wersji Chrome dla systemów Windows, Linux i Mac, oficjalnie oznaczonej 21.0.1180.89.

Pierwszą z załatanych luk była CVE-2012-2866, co rozwiązało problem, w którym Chrome niewłaściwie wykonywał interpretację nieokreślonej zmiennej podczas obsługi elementów run-in. Jeśli zostałaby niezałatana, mogłaby pozwolić atakującemu na spowodowanie DoS na wrażliwym Chromie za pomocą specjalnie spreparowanego dokumentu.

Drugą luką jest CVE-2012-2869, w której Chrome nieprawidłowo ładował adres URL, co mogło pozwolić atakującemu na zdalne tworzenie DoS lub, ewentualnie, na podjęcie dodatkowych działań na narażony system.

Trzecią załataną luką z wysokim ratingiem jest CVE-2012-2871, która naprawia problem z libxml2 2.9.0-rc1 i wcześniejszych, standardowego składnika Google Chrome. Wcześniejsze wersje tej biblioteki obsługiwały niepoprawnie interpretację nieokreślonej zmiennej podczas transformacji XLS- procesu, w którym arkusze stylów strony internetowej są renderowane, gdy strona zostanie załadowana. Taka luka może ułatwić atakującemu zdalny atak DoS lub podjąć inne działania na narażonych na bezpieczeństwo systemach wykorzystując specjalnie spreparowany dokument.

Google jest jednym z dwóch głównych producentów przeglądarek z Fundacją Mozilla, który płaci niezależnym badaczom na informacje na temat luk w zabezpieczeniach swoich produktów. Firma jest liderem w promowaniu kontroli na swojej platformie. W sierpniu Google ogłosił zapisy na Pwnium 2, drugi coroczny konkurs, który zaprasza top hakerów do podjęcia próby skrakowania Chrome w zamian za nagrody pieniężne.

Po raz pierwszy odbył się w marcu, gdzie przyznano 60 000$ dla dwóch badaczy, którzy stworzyli wyrafinowany i udany atak na Chrome.

dodany: 09.08.2012 | tagi: , , ,

Sandboxing w Chrome

0

Programiści przeglądarki Chrome we współpracy z Adobe opracowali plugin do bezpiecznego korzystania z technologii Flash. Nie od dziś wiadomo, że Adobe ma spore problemy z bezpieczeństwem swoich produktów – w aktualizacjach zazwyczaj widzimy lakoniczną informację o „niesamowitym zwiększeniu wydajności”, a faktycznie sprawa dotyczy rażących błędów… Plugin przed uruchomieniem Flasha testuje go używając sandboxing’u. Aby ulepszyć tę technologię, producent przeportował swój Plugin Flash z starszego Netscape Plugin API (NPAPI) do architektury Google Pepper Plugin API (PPAPI). Ulepszenie jest dostępne na razie dla windowsowskiej wersji przeglądarki. Google chwali się, że zabezpieczenie to jest lepsze niż jakiekolwiek inne z tego powodu, że Flash nie używa mechanizmu ASLR (Address Space Layout Randomisation).

Usprawniona wersja pod Linuxa z dołączonym Flash’em, a także wersja pod OS X mają zostać wydane wkrótce. Co prawda Pepper API jest zaimplementowane w open source’owego Chromium, z tymże sam plugin Flash nie jest dołączony do przeglądarki, co nie pozwala na wykorzystanie w  pełni mechanizmu bezpieczeństwa.