標籤: Firefox

Firefox作業系統:安全性如何?

Trend Labs 趨勢科技全球技術支援與研發中心

作者:Robert McArdle(資深威脅研究員)

在巴塞隆納剛結束的世界行動通訊大會上出現一件有意思的事,就是正式發布了Firefox OS。Mozilla執行長Gary Kovacs生動的說:「要將網頁體驗帶到行動設備上」。

Security

特別的不是因為有多少廠商和電信商也被公告即將發表使用Firefox OS的產品,而是Mozilla的新行動作業系統大量的使用HTML5。Firefox OS的應用程式是用HTML5等開放標準來開發,而非使用專有工具或技術。

Firefox OS到目前為止所發表出來的資訊,絕大部分都不是為了提供給安全研究人員或分析人員(雖然Mozilla的開發者網站上也有些很好的資源)。主要還是為了給應用程式開發人員、使用者和電信商,需要他們更快採用Firefox OS才能真正成功。支援Firefox OS的產品甚至還沒有提供給開發人員,更別說普羅大眾了。

我們所能做的就是檢視HTML5的整體安全性,看看Firefox OS應用程式會運作在什麼樣的環境。我們知道HTML5絕對足夠強大去成為有用的應用平台,但這也代表惡意行為可以藉由HTML5達成,攻擊行為也可以透過HTML5進行。當然,這些攻擊原生程式碼做也可做到,所以當說到強大或安全,HTML5都不能說是優勢或缺點。

從意識形態的角度來看,有一件事必須承認的是,Mozilla會被認為代表開放的選擇。這是否也代表使用者在Firefox OS上會比被嚴密控制的iOS上更可能遭遇到惡意應用程式?在Firefox OS的所有細節被明確提出前,我們不能肯定 – 但看起來很可能如此。 繼續閱讀

更新Firefox、Chrome和 IE,還附贈防毒功能?!當心首頁被綁架

趨勢科技 TrendMicro

想更新瀏覽器嗎?要先確認是從合法管道下載,不要下載到偽裝成瀏覽器更新程式的惡意軟體到電腦上。

趨勢科技最近看到一篇報導指出,有許多網站提供瀏覽器更新程式,像是Firefox、Chrome和Internet Explorer,還有其他更多版本。使用者點到惡意廣告就有可能進入這些網頁。

這惡意威脅的幕後黑手想盡辦法讓這陷阱看起來像是真的。這些網頁就如下圖所示,看來就像是瀏覽器的官方網站。為了進一步引誘使用者下載假更新程式,這網站甚至還提供了整合的防毒保護:

 

更新Firefox、Chrome和 IE,還附贈防毒功能?!當心首頁被綁架
更新Firefox、Chrome和 IE,還附贈防毒功能?!當心首頁被綁架

只是使用者下載的並不是更新程式,而是被偵測為JS_DLOADR.AET的惡意程式,它會改變下載的二進位檔案而有不同的惡意行為。

接下來,惡意JavaScript會下載TROJ_STARTPA.AET,並儲存成瀏覽器下載目錄內的 INSTALL.EXE。根據趨勢科技的初步分析,這木馬程式會修改使用者的IE瀏覽器首頁為https://{BLOCKED}rtpage.com,這是一個可能含有其他惡意程式的網站,好進一步感染使用者的電腦。 繼續閱讀

IE, Chrome, Firefox三巨頭,漏洞數量比一比

趨勢科技 TrendMicro

最近Microsoft Internet Explorer 出現了零時差漏洞,一股排山倒海建議大家改用其他瀏覽器的聲浪又出現了。

單就漏洞數量來看Microsoft Internet Explorer ,Google Chrome, Mozilla Firefox這「三巨頭」領先的其實不是 IE,而是Google Chrome。

過去五年來,Microsoft Internet Explorer 在這方面呈現逐漸減少的趨勢。

趨勢科技資安專家Rik Ferguson 在以下的文章中表示:”每一種瀏覽器都有其弱點、漏洞與修補程式 (最後一項有可能沒有)。每個人有自己合適的選擇,針對不同的安全工具和技巧,您需要對瀏覽器、技術或威脅特性有不同程度的熟悉,才能有效保護自己,又不會讓您無法順利上網。” 

Internet Explorer:寧願選擇您熟悉的惡魔?(Better the Devil You Know?)

作者:趨勢科技資安專家Rik Ferguson

影像來源:Steve Dinn

過去幾天,有關哪個瀏覽器最安全的爭論又再度興起,主要原因是最近Microsoft Internet Explorer 出現了零時差漏洞。由於此漏洞影響廣泛,因而造成一股排山倒海的善意聲浪建議大家改用其他瀏覽器。資訊安全專家企業執行長甚至是德國政府(又再一次) 不斷提出這樣的呼籲,但問題是,這樣的作法有多實際?更重要的是,有多大幫助?

資訊安全不是針對別事件立刻本能反應就能解決,資訊安全需建立在一套能降低長期暴險及風險的策略。這套策略還應避免純粹為了改變而改變,因為,採用新技術所帶來的不熟悉,反而可能引來人為的漏洞。

目前最熱門的 Internet Explorer 替代方案 (以及目前最受推崇的) 是 Google Chrome 和 Mozilla Firefox,但兩者並非全無漏洞或零時差漏洞。事實上,如果攤開眼前的一些證據,我們甚至可以說 Internet Explorer 反而是所有瀏覽器當中問題最不嚴重的。
2011 年,Google Chrome 的新漏洞通報數量創下新的紀錄,達到 275 個,是該瀏覽器問世以來漏洞數量整體上揚趨勢當中的最高點。Mozilla Firefox 目前雖然已從其 2009 年的最高點開始下降,仍然有 97 個已通報漏洞。過去五年來,Microsoft Internet Explorer 在這方面呈現逐漸減少的趨勢,而且在 2011 年只出現 45 個新的漏洞,比其他任何瀏覽器都低 (除了 Apple 的 Safari 同樣為 45 個之外)。當然,單就漏洞數量來看並無太大意義,除非我們將嚴重性也考慮進去,但即使這樣,就「三巨頭」的數據來看仍舊是 Internet Explorer 佔優勢。若再將零時差漏洞也考慮進去,那麼,情勢也沒有太大差異:Google Chrome 有 6 個、Microsoft Internet Explorer 有 6 個,而 Mozilla Firefox 則是 4 個。

不過,很單純的一項事實是,我們太過關注於零時差漏洞 (例如這次的例子),光是聽到「零時差漏洞」這個名字,就連一些不甚了解其涵意的人也會膽顫心驚。企業總是很難讓所有瀏覽器都更新到最新的版本 (就連個人使用者亦不例外),更何況可修補的漏洞數量遠超過偶爾出現的零時差漏洞。不管情況如何,現在的攻擊已開始越來越針對一些跨平台瀏覽器通用的外掛程式,而非瀏覽器本身,如:QuickTime、Flash 或 Acrobat。不然就是單純針對瀏覽器的使用者而設計 (如網路釣魚(Phishing)、假冒知名網站或其他社交工程陷阱( Social Engineering)攻擊手法)。

面對現實吧,您的瀏覽器本來就無法保障您的安全,不論是誰開發的都一樣。您必須採取一些步驟來自我防衛,不論您使用何種瀏覽器。

每一種瀏覽器都有其弱點、漏洞與修補程式 (最後一項有可能沒有)。每個人有自己合適的選擇,針對不同的安全工具和技巧,您需要對瀏覽器、技術或威脅特性有不同程度的熟悉,才能有效保護自己,又不會讓您無法順利上網。

針對絕大多數的情況,我們最好的建議是繼續使用您最熟悉的瀏覽器,但請採取一些安全措施。若您冒然改用其他您不熟悉的瀏覽器,反而可能因為不熟悉而讓您比之前更不安全。

資訊安全軟體終究是個人電腦必備的工具,就像安全帶之於汽車一樣,而且,不論廠商是否已釋出修補程式,這些工具都能提供您更好的漏洞與攻擊防護。如果您想進一步了解背後的原因,這份報告是一個不錯的入門指南。

起身對抗 IE 或許很酷,但是好東西總是會「歷久彌新」。

 相關文章:

  1. 哪一家的瀏覽器最安全,這是個問題嗎? (Which browser is the most secure, is that the question?)
  2. 耶誕快樂!享受新的零時差攻擊吧! (Merry Christmas and a Happy New 0-Day)
  3. 將 Java 而非 Bob’s Java Jive (JavaScript) 停用 (Disable Java not Bob’s Java Jive (or JavaScript))
  4. 網際網路安全日 Twitter 垃圾訊息 (Safer Internet Day Twitter Spam)
  5. Google、中國、四眼天雞與網路對決。(Google, China, Chicken Little and Cyber Armageddon.)

◎原文來源
Internet Explorer:寧願選擇您熟悉的惡魔?(Better the Devil You Know?)

 

◎延伸閱讀

 IE出現零時差漏洞病毒,請修改IE瀏覽器安全性設定

Java零時差漏洞和Blackhole漏洞攻擊四種社交工程誘餌

Java Runtime Environment 1.7零時差漏洞攻擊, 會擷取螢幕、網路攝影機影像和錄音,易危及Mac OSX

Apple:這是Java的原罪

《Java 零時差漏洞攻擊》Nitro攻擊活動和Java零時差攻擊

《Java 零時差漏洞攻擊》 關閉Java而非JavaScript(含停用 Java 指南)

 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁上按讚:https://www.facebook.com/trendmicrotaiwan 


APT 攻擊

 

◎ 歡迎加入趨勢科技社群網站