Seguridad en NavegadoresChema AlonsoMS MVP Enterprise Securitychema@informatica64.com

Stack

Return Address

Locals

Arquitectura: Protección de la Memoria Data Execution Protection

Address Space Layout Randomization DEP

Previous Frames

Parameters

Code

Application Code

Library Code

Windows Code

LoadLibrary()

ASLR

Arquitectura: MIC & UIPI• Mandatory Integrity Control (MIC).

– Una aplicación no puede acceder a datos que tengan un Nivel de integridad superior al suyo.

– Niveles de Integridad: Bajo, Medo, Alto y de Sistema

– Los objetos con ACL tienen una nueva entrada ACE donde se les asigna un nivel de Integridad

– A cada proceso se le asigna un Nivel de Integridad en su testigo de acceso

• User Interfacer Privilege Isolation (UIPI)– Bloquea el acceso mediante mensajes de

procesos con Nivel de Integridad inferior a procesos con Nivel de Integridad superior.

• Virtual Store: – Acceso a carpetas y claves del registro

virtualizadas en perfil de usuario

DEMO

Extensiones, administración y configuración (I)• Todos los navegadores, excepto

Safari permiten el uso de extensiones.

• Internet Explorer y Firefox son los únicos que permiten el uso de complementos firmados.

• Solo IE8 y Firefox* permiten configuración por GPO’s– Firefox con software adicional en AD y en

cliente

Extensiones, administración y configuración (II)

• Sólo IE8 permite controlar componentes por sitio y usuario.

Administrador de complementos en IE8

Extensiones, administración y configuración (III)

Control de cookies y sesiones

• IE8 es el único navegador que da soporte al flag ‘Write’ de HTTPOnly, y que implementa un filtro anti Cross-Site Scripting.

• Todos los navegadores, excepto Firefox, proporcionan soporte a la cabecera X-FRAME-OPTION para la prevención de clickjacking

• Todos los navegadores, excepto Opera, soportan el uso de la cabecera Access-Control-* para evitar ‘Cross Domain Request’.

Ingeniería Social

Ingeniería Social: Resalto del dominio

• Unicamente los navegadores IE8.0 y Chrome 4.1 realizan un resalto de dominio en la URL.

Google Chrome

Internet Explorer

Nombre de dominio resaltado

Alertas sobre certificados

Todos los navegadores muestran alertas sobre certificados en los siguientes casos:

– Certificado generado para otro dominio

– Certificado caducado– Certificado emitido por una

CA desconocida

Certificados con validación extendidaTodos los navegadores realizan un resalto de los

certificados con validación extendida. Sin embargo en Chrome 4.1 y Safari 4.0 no queda bien reflejado.

Almacén de certificadosEntidades emisoras de certificados como la FNMT o CATCert, no son incluidas en las almacenes de certificados de Mozilla Firefox, Opera Browser o Apple Safari.

Programa PADRE

Protección ante phishing y malware (I)• Todos los navegadores incorporan un sistema de protección contra malware.• Los tiempos de respuesta de Opera respecto a los demás está muy distante.

Protección ante phishing y malware (II)

• Detección de malware por cada uno de los navegadores

Protección ante phishing y malware (III)

Firefox y el Malware

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/firefox_and_malware.pdf

Gestión de información de navegación

Configuración de Javascript• Todos los navegadores permiten

deshabilitar Javascript.• Chrome y Safari no permiten una

configuración avanzada de opciones Javascript.

• Solo IE8 y Google Chrome permiten hacer listas.

Vulnerabilidades

Número de vulnerabilidades

• Internet Explorer 8 [12 meses]– Marzo 2009

• Chrome 2, 3 y 4 [10 meses]– Mayo 2009

• Firefox >= 3.5 [ 9 meses]– Julio 2009

• Opera >=9.6 [14 meses]– Enero 2009

• Apple Safari 4.0 [9 meses]– Julio de 2009

Número de vulnerabilidades totales

Vulnerabilities0

10

20

30

40

50

60

44

25

57

11

33

ChromeIEFirefoxOperaSafari

Número de vulnerabilidades por mes

Opera Firefox Chrome Internet Explorer

Safari0.00

1.00

2.00

3.00

4.00

5.00

6.00

7.00

0.79

6.33

4.40

2.08

3.67Series1

Vulnerabilidades por criticidad

Extremely Highly Moderately Less Critical Not Critical0

10

20

30

40

50

60

0

37

3 3 17

14

2 0 20

56

0 0 103

8

0 00

31

0 1 1

ChromeIEFirefoxOperaSafari

Cuota de Mercado

Internet Explorer

Chrome Firefox Opera Safari Others0

10

20

30

40

50

60

7060.65

6.13

24.52

2.37 4.651.68

Corrección de vulnerabilidades

Chrome IE Firefox Opera Safari0

10

20

30

40

50

60

32

21

57

5

31

44

24

57

11

33

Fixed Total

¿Preguntas?

Chema AlonsoMicrosoft MVPEnterprise Securitychema@informatica64.comhttp://twitter.com/chemaalonsohttp://elladodelmal.blogspot.comInformática64i64@informatica64.com http://www.informatica64.comhttp://twitter.com/informatica64