25 апреля 2011 г.

Плагины Java и QuickTime спрашивают разрешения у Google Chrome

Оригинал статьи: Java and QuickTime Require Permission in Google Chrome

В прошлом году команда разработчиков браузера Chrome обещала улучшить безопасность при запуске плагинов. Кое-что уже сделано: в последней альфа-сборке плагины спрашивают разрешения. «Некоторые плагины устанавливаются практически на каждом компьютере, хотя сегодня в вебе они почти не нужны. В большинстве случаев попытка запуска такого плагина подозрительна — и браузер Chrome будет предупреждать об этом».

Два таких плагина, спрашивающих разрешения при каждом посещении сайта, на котором они используются, — Java от Oracle и QuickTime от Apple. Эти два плагина по умолчанию активированы, однако для полной загрузки веб-страницы пользователь должен щёлкнуть по одной из двух кнопок на всплывающей информационной панели — «Разрешить запуск однократно» или «Всегда запускать на этом сайте». Можно занести определённые домены в белый список, но инфопанель всё равно будет появляться.



Не так уж много сайтов используют эти плагины, но необходимость каждый раз запрашивать разрешение на запуск? — такое решение удивляет. Причём это не зависит от версии: установка свежайших версий плагинов ничего не меняет. Всплывающая инфопанель раздражает, а некоторые пользователи вполне могут подумать, что сайт пытается установить вредоносное ПО.

«Причина такого решения — желание защитить (примерно 90–95 %) интернет-пользователей, которые никогда не сталкивались с различными редкими плагинами. Ведь всё, что нужно сделать, — нажать на одну кнопку, подтверждая, что вы доверяете этому сайту запускать Java, — вот и все труды. И труды не напрасные: вы ограничили ущерб от уязвимостей Java — например, избавились от автоматического принудительного запуска вредных рекламных Java-модулей. Я призываю всех ознакомиться с историей технологии принудительной загрузки модулей и уделить повышенное внимание тому, как техногия Java использовалась в большом количестве атак, в том числе и при свежайших версиях Java-плагина», объясняет один из инженеров из команды Chrome.

Статья, опубликованная в ноябре 2010 г., сообщает, что «уязвимости (exploit) Java сменили уязвимости PDF “на посту” наиболее распространённых угроз, по данным “G Data SecurityLabs”. Уязвимости (vulnerabilities) Java предоставляют кибер-преступникам большие технические возможности, утверждают исследователи, а разработка и распространение вредоносного кода очевидно представляют собой наиболее простой метод заражения системы. Возглавляет список Java.Trojan.Exploit.Bytverify.N, использующий слабое место в верификации кода Java. Использование этой уязвимости позволяет запускать на выполнение вредоносный код, который может предоставить атакующему полный контроль над системой жертвы. Этот троян обычно находится на взломанных веб-сайтах, откуда он пытается заразить как можно большее количество ПК путём принудительной загрузки, запускаемой управляемым Java-приложением (applet), утверждают исследователи. Достаточно просто зайти на заражённый сайт с незащищённого компьютера — и ваша система заражена». Специалисты «G Data» ожидают «значительного скачка в распространении вредоносного ПО на Java в ближайшие месяцы».