Chyby v prohlížečích, které v nich byly klidně deset let Jiří Nápravník 1
Jednotlivé části Důvod vytvoření analýzy Podíl na trhu mezi prohlížeči Podíl na trhu mezi op. systémy Způsob analýzy a použité zdroje Prohlížeče počty chyb, rychlost opravy, atd. Operační systémy počty chyb, rychlost opravy.. Ukázka kritických chyb v prohlížečích i operačních systémech 2
Důvod vytvoření analýzy Názor odborníků na IT bezpečnost - Uživatel si musí svůj počítač zabezpečit, jinak je idiot!! Jak je možné, že uživateli, který používal antivir, firewall a instaloval opravné balíčky někdo odcizil a zneužil jeho dig. certifikát (privátní klíč)? 3
Podíl na trhu mezi prohlížeči Podíl podle W3C (celosvětově) 50 45 40 35 30 25 20 22,4 MSIE Firefox Chrome Opera ostatní 15 10 5 0 Podíl v procentech 4
Podíl na trhu mezi OS Podíl podle W3C (celosvětově) 50 47,2 45 40 35 30 25 20 15 Win 7 V ista Win XP Win 2000 Linux Mac X ostatní 10 5 0 Podíl v procentech 5
Podíl na trhu mezi OS Windows a ostatní OS 90 80 70 60 50 40 Window s Linux Mac X ostatní 30 20 10 0 Podíl v procentech 6
Zdroje pro analýzu cve.mitre.org, kb.cert.org vdb.dragonsoft.com + stránky výrobců Microsoft Mozilla Google Apple 7
Způsob provedení analýzy Shromáždění dat o chybách Shromáždění informací o tom, kterých verzí se chyba týká Datum zveřejnění informací o chybě 8
Prohlížeče Součástí analýzy byla prověrka těchto prohlížečů www stránek : Microsoft Internet Explorer Mozila Firefox Google Chrome Opera 9
Prohlížeče - Firefox Počet chyb do konce roku 2010 180 3.6-85 3.5-135 3.0-161 160 140 120 100 2.0-154 60 80 3.6 3.5 3.0 2.0 40 20 0 Firefox 10
Prohlížeče - Chrome Počet chyb do konce roku 2010 60 8-3 7-23 6-20 5-56 20 4-35 50 40 30 20 4 10 8 7 6 5 0 Chrome 11
Prohlížeče - Opera Počet chyb do konce roku 2010 60 11-0 10-28 9-56 8-47 20 50 40 30 11 10 9 8 10 0 Opera 12
Stejná chyba ve více verzích Z popisu chyb, z určení opravných balíčlů a z exploitů byl vytvořen souhr chyb, které se vyskytují v nejnovější verzi prohlížeče a ve starších verzích. 13
Prohlížeče stejná chyba ve více verzích v roce 2010 90 MSIE 8 50-48 Firefox 3.6-85 - 0 Chrome 8-3 - 0 Opera 11-0 - 0 80 70 60 50 40 30 20 11 10 10 0 MSIE Firefox 3.6 Chrome 8 Opera 11 14
Prohlížeče MSIE Chyba CVE-2011-0038 při návštěvě upravených www stránek dochází k instalaci upravené knihovny IEShims.dll. Útočník tak může získat vzdálený přístup do počítače a stejná práva jako lokální uživatel. Chyba se týká verzí 8, 7 a 6 Již je k dispozici opravný patch Úroveň nebezpečnosti Extrémně kritická 15
Operační systémy Vzhledem k dominanci operačních systémů Windows na desktopech byla analýza zaměřena především na výrobky společnosti Microsoft. 16
Operační systémy Způsob distribuce : Windows SW, který je možné zakoupit Linux Open Source Software Mac OS neprodejný součást počítačů Apple 17
Operační systémy - Windows Počet chyb do konce roku 2010 450 WIN 7-80 WIN Vista - 237 WIN XP - 408 400 350 300 250 WIN 2000-293 150 200 7 Vista XP 2000 100 50 0 Window s 18
Operační systémy - Windows Počet společných chyb do konce roku 2010 90 80 WIN 7-80 WIN 7- Vista - 74 WIN 7- XP - 54 30 WIN 7-2000 - 31 70 60 50 40 20 10 7 Vista XP 2000 0 Window s 19
Operační systémy - Windows Společné chyby Win 7 Win XP : 54 chyb z toho 39 kritických Windows XP byly uvedeny na trh v roce 2001 20
Operační systémy - Windows Společné chyby Win 7 Win 2000 : 31 chyb z toho 23 kritických Windows 2000 byly uvedeny na trh v roce 1999 21
Operační systém Windows Chyba CVE-2010-3959 přes chybu v OTF (Open Type Font) ovladači může útočník spusti upraveny OTF font a touto cestou získat plný přístup do systému. Chyba se týká verzí 7, Vista a XP Již je k dispozici opravný patch Úroveň nebezpečnosti Velmi kritická 22
Operační systém Windows Chyba CVE-2010-1263 ve WordPadu, přes WebDAV nebo jiné sdílení je možné s otevření souboru spustit současně připravený škodlivý program, kterým útočník získá vzdálený přístup na počítač a stejná oprávnění jako přihlášený uživatel. Chyba se týká verzí 7, Vista a XP Již je k dispozici opravný patch Úroveň nebezpečnosti Velmi kritická 23
Operační systém Windows A mnoho, mnoho dalších chyb!!! Ve Windows 7, Vista a XP je 54 chyb, které jsou shodné pro všechny verze. Minimálně 54 chyb bylo ve Windows 10 let. Opravdu byly odhaleny až v roce 2010!! 24
Děkuji Vám za pozornost Jiří Nápravník napravnik.jiri@salamandr.cz 25