Da qualche giorno e' in distribuzione, tramite il link sulla homepage di Google il nuovo browser Chrome in versione beta.
Si e' scritto molto sul nuovo browser ed anche sul problema di sicurezza trovato a poche ore dall'inizio della disponibilita' del download e anche nelle ultime ore ci sono nuove notizie al riguardo di un'altra vulnerabilita' presente, ma fortunatamente anche dell'aggiornamento disponibile con le patch di sicurezza.Volendo provare il comportamento di Chrome quando si fossero visitati siti con problemi, ho provato a testare il browser con un sito appartenente agli ultimi visitati e descritti in un precedente post al riguardo di inclusione di pagine nascoste.
La maggiore sorpresa e' stata , non tanto il comportamento di Chrome, al caricamento di una pagina di quelle indicate come possibili links a falsi antivirus, ma il fatto che una volta avviato in Sandboxie , Chrome ha smesso di funzionare.
In pratica veniva proposta la pagina iniziale del browser vuota e senza la possibilita' di accedere a qualunque sito.
Una ricerca in rete ha confermato il problema del mancato funzionamento di Chrome in Sandboxie e alcune ipotesi formulate al riguardo di questo problema.
Una delle possibili cause potrebbe derivare dal modo con cui Chrome gestisce i vari processi.
Come gia' indicato nel sito ufficiale infatti il browser esegue i diversi processi, collegati a pagine caricate su differenti tabs, in aree di memoria separate, paragonate dai creatori del browser ad una sandbox.
Questo sistema garantirebbe un isolamento tra i vari processi relativi alle pagine aperte nelle rispettive tabs ma comunque, anche se chiamato cosi' dai creatori di Chrome, non si tratterebbe di un isolamento dei task paragonabile ad una sandbox (un esempio e' la prima vulnerabilita' scoperta che bypassa questo tipo di protezione)
In ogni caso una soluzione di ripiego per eseguire in Sandboxie Chrome pare essere stata trovata abilitando questa opzione
che consente il caricamento di drivers al di fuori della sandbox ma che di conseguenza crea una riduzione dell'isolamento del programma in esecuzione rendendo sandboxie insicuro.
Per quanto si riferisce al test effettuato sulla pagina con link a falso AV, il caricamento di una pagina contenente javascript offuscato , usando le impostazioni di default di Chrome, e' stato eseguito in maniera veramente rapida cosa che se da un lato evidenzia buona velocita' nell'elaborazione degli script java dall'altro porta all'attivazione del download del file eseguibile malevolo quasi istantaneamente ed in maniera del tutto trasparente per l'utente.
E' vero che il file scaricato andra' poi eseguito ma in ogni caso il rischio di attivarlo, anche per sbaglio, e' abbastanza rilevante..
Ecco un altro esempio di pagina di falso av che carica il file eseguibile ancora prima che venga terminata la falsa scansione.
Come ripeto , la configurazione provata e' quella di default al momento della installazione di Chrome, e quindi, andando a modificare alcune impostazioni come ad esempio l'abilitazione o meno degli script java si potrebbero limitare certi automatismi che rendono poco sicuro navigare su siti non noti.
Purtroppo pare che al momento l'unico sistema per disabilitare gli script sia attraverso un parametro passato sulla linea comando quando chrome viene eseguito,
Questi alcuni parametri
-disable-javascript
-disable-images
-disable-java
-disable-plugins
-disable-popup-blocking
-start-maximized
In definitiva, visto anche che alcuni setup di impostazioni sembrano ancora piu' da addetti ai lavori, che da utenti finali, al momento attuale, o ci si limita ai soli siti ben conosciuti, oppure l'utilizzo di Chrome potrebbe presentare qualche problema se si incontrano siti compromessi anche con solo un download di falsa applicazione antivirus gestito da semplici scripts java.
Tutto questo chiaramente senza contare eventuali nuove vulnerabilita' che potrebbero essere utilizzate prima che venga rilasciata la relativa patch.
Aggiornamento 9 settembre
Mi e' stata segnalata la possibilita' di usare all'avvio di Chrome ,il parametro, -no-sandbox che disabilita la sandbox interna del browser e che ora ne permette finalmente l'esecuzione all'interno di Sandboxie.
Avevo testato in precedenza l'opzione proposta ma senza risultati; in effetti dopo aver anche aggiornato Sandboxie all'ultima versione e ripetuto il test sembra ora funzionare correttamente.
Visto che Chrome e' in versione beta e dato che ad esempio gli scripts java sono abilitati di default, consiglio a chi vuol testare Chrome di utilizzarlo all'interno di Sandboxie per avere qualche sicurezza in piu, visitando siti non noti.
Mi e' stata segnalata la possibilita' di usare all'avvio di Chrome ,il parametro, -no-sandbox che disabilita la sandbox interna del browser e che ora ne permette finalmente l'esecuzione all'interno di Sandboxie.
Avevo testato in precedenza l'opzione proposta ma senza risultati; in effetti dopo aver anche aggiornato Sandboxie all'ultima versione e ripetuto il test sembra ora funzionare correttamente.
Visto che Chrome e' in versione beta e dato che ad esempio gli scripts java sono abilitati di default, consiglio a chi vuol testare Chrome di utilizzarlo all'interno di Sandboxie per avere qualche sicurezza in piu, visitando siti non noti.
Segnalo inoltre lcune interessanti TIPS per Chrome a questo indirizzo URL
Edgar
Nessun commento:
Posta un commento