it-swarm-eu.dev

Können Sie Viren bekommen, indem Sie einfach eine Website in Chrome besuchen?

Ich habe kürzlich Google Chrome gelesen: Das Ende der Drive-By-Downloads . Stimmt es, dass Drive-by-Downloads in Google Chrome Geschichte sind?

Wenn ich also einen Link (aus einer Spam-E-Mail) habe, kann ich mit der rechten Maustaste auf >> open in new incognito window >> klicken und 100% sicher sein, dass mein System keine Viren/Schäden aufweist?

Anfangs habe ich diese Frage unter https://webapps.stackexchange.com/questions/15209/anonymous-links-in-email/15211 gestellt, aber Ich bekomme keine gute Antwort (und außerdem richten sich die Antworten alle an Phishing-Sites, während sich meine Frage an "Viren-Sites" richtet).

43
Pacerier

Es wird zugegeben, dass Drive-by-Download-Angriffe nur dank der Interaktion des Benutzers auftreten, wie dies beispielsweise beim Virus HDD Plus der Fall war, bei dem Besucher der gefährdeten Website mindestens einen Doppelklick ausführen mussten rad.msn.com Banner.

Tatsächlich gab es jedoch Drive-by-Download-Angriffe, die erfolgreich auf IE, Safari, Chrome und Firefox ausgeführt wurden, ohne dass die Interaktion des Benutzers erforderlich war. Beispiel: CVE-2011-0611 = war bis zum 13. April 2011 eine 0-Tage-Sicherheitsanfälligkeit (dh kurz bevor Sie diese Frage gestellt haben). Sie wurde verwendet, um die Homepage der Human Right Watch-Website in Großbritannien zu infizieren. Die infizierte Seite = enthält ein unerwünschtes <script src=newsvine.jp2></script> - Element. Dies bringt den Browser dazu, newsvine.jp2 als JavaScript-Code zwischenzuspeichern und auszuführen. Es handelte sich um einen Drive-by-Cache-Angriff, bei dem es sich nur um Drive-by-Download-Angriffe handelt. Das Caching ist erfolgreich, aber die Datei kann nicht als JavaScript ausgeführt werden, da es sich tatsächlich um eine umbenannte schädliche ausführbare Datei handelt, die einer Hintertür aus der pincav -Familie entspricht.

Ein weiteres unerwünschtes Skriptelement auf der infizierten Seite ist <script src="/includes/googlead.js"></script>, Das im Gegensatz zu den meisten Drive-by-Download-Angriffen eine lokale .js - Datei lädt. Der JavaScript-Code in googlead.js Erstellt einen Iframe, der den SWF-Exploit von einer von den Angreifern kontrollierten Domäne aus ausführt.

Im selben Jahr, in dem Sie diese Frage gestellt haben, gab es ein anderes Beispiel für einen Drive-by-Download-Angriff, bei dem kein Browser sicher war, solange zu diesem Zeitpunkt eine anfällige Version von JRE ausgeführt wurde ( CVE-2011-3544) ). Tausende Besucher der Homepage von Amnesty International in Großbritannien waren daher mit Trojan Spy-XR Malware infiziert. Die Angriffe wurden fortgesetzt bis Juni 2011 , also später, nachdem Sie diese Frage gestellt hatten: Google Chrome war nicht sicher.

Etwas mehr als zwei Jahre später, nach dieser Frage, am 24. Oktober 201 , hat die berühmte php.net - Website ihre Besucher durch einen Drive-Download-Angriff durch ein verstecktes - infiziert. iframe Tag. Der Angriff betraf auch Google Chrome.

Sie haben auch erwähnt, dass Google Chrome könnte aufgrund seines Sandbox-Mechanismus so sicher sein: Nun, alle Browser sind Sandbox-fähig, nicht nur Google Chrome, sondern sie sind aufgrund ihrer eigenen Angriffe anfällig für Download-Angriffe Schwachstellen oder die der darin installierten Plugins.

10
user45139

Kurze Antwort: Ja, Sie können einen Virus erhalten, indem Sie eine Website in Chrome oder einem anderen Browser besuchen, ohne dass eine Benutzerinteraktion erforderlich ist ( Videodemonstration ) Mit Chrome sind Sie nicht 100% sicher - und Sie werden wahrscheinlich nie mit einem Browser arbeiten, aber Chrome kommt dem und der Sicherheitsforschungsgemeinschaft ziemlich nahe scheint zuzustimmen, dass es derzeit der sicherste Browser ist, den Sie verwenden können.

Lange Antwort: Chrome ist derzeit der sicherste Browser, der in Windows vorhanden ist, da die verwendeten Sandbox-Techniken die Sicherheit erhöhen. Eine gute Beschreibung dieser Sandbox finden Sie hier: http://blog.chromium.org/2008/10/new-approach-to-browser-security-google.html obwohl etwas veraltet. Eine neuere und technischere finden Sie hier: http://dev.chromium.org/developers/design-documents/sandbox

Die allgemeine Idee ist, dass eine böswillige Website zwei separate Exploits verwenden muss, um die Codeausführung auf Ihrem PC zu erreichen: Der erste nutzt den Browser, der zweite die Sanbox. Dies hat sich als sehr schwierig erwiesen - es wurde nie getan.

Ihre Frage kommt zu einem guten Zeitpunkt: Vor einer Woche behauptete das Sicherheitsforschungsunternehmen VUPEN, es sei kaputt gegangen chrome sandbox) und veröffentlichte die folgende Ankündigung: http://www.vupen.com /demos/VUPEN_Pwning_Chrome.php Wenn Sie sich das Video ansehen, werden Sie feststellen, dass außer dem Besuch der schädlichen URL keine Benutzerinteraktion erforderlich war und eine Beispielanwendung aus dem Nichts aufgetaucht ist (es könnte sich stattdessen um einen Virus handeln). Die Angriffsbeschreibung erwies sich als falsch (aber das ist für einfache Benutzer nicht sehr wichtig): Die Sandbox selbst wurde nicht beschädigt. Es stellte sich heraus, dass VUPEN einen Fehler in Adobe Flash Player ausnutzte, einem Plugin, das fast jeder installiert hat - und dieses Plugin nicht sandboxed. Die Antwort von Google ist, dass sie sich schnell bewegen und entwickeln, so dass dieses Plugin in den nächsten Versionen irgendwann sandboxed wird.

Um es zusammenzufassen: Wie Sie im Video sehen können, können Sie niemals 100% sicher sein, dass Sie in Sicherheit sind. Seien Sie also vorsichtig, öffnen Sie keine Links, von denen Sie nicht wissen, wohin sie führen, oder vertrauen Sie den Websites nicht.

Nebenbemerkung: NSA hat kürzlich ein Dokument veröffentlicht, in dem "Best Practices" für die Benutzersicherheit im Internet angegeben sind: Dazu gehört die Empfehlung, einen Browser mit einer Sandbox zu verwenden.

Hier ist der Bericht: http://www.nsa.gov/ia/_files/factsheets/Best_Practices_Datasheets.pdf

Eine weitere Nebenbemerkung: Internet Explorer 9 wird mit einer Sandbox beworben, aber Sicherheitsforscher sind sich einig, dass diese nicht ordnungsgemäß implementiert ist, und haben erfolgreiche Angriffe gegen sie demonstriert.

Und noch eine dritte: Das Inkognito-Fenster hat nichts mit Virenschutz zu tun, kann jedoch bei bestimmten Angriffsklassen nützlich sein, bei denen das Stehlen von Cookies oder ähnlichem das Ziel ist, da es Browserinstanzen trennt und verfügbare Informationen isoliert.

Schließlich gibt es Technologien, die einen besseren Schutz bieten, wie Sandboxie und das Ausführen von Browsern in virtuellen Maschinen.

36
john

Ich glaube nicht, dass wir sagen können, dass Drive-by-Downloads Geschichte sind (wenn Sie Chrome verwenden). Chrome implementiert Sandboxing , aber es ist nicht unmöglich, dem enthaltenen Prozessraum zu entkommen. Das Sandboxing und das sichere Durchsuchen verringern nur die Wahrscheinlichkeit, dass ein Angreifer erfolgreich ist.

10
Ben