lunes, 3 de agosto de 2015

Edge: Nuevo navegador, nuevos riesgos para Windows 10

El lanzamiento de Windows 10 ha supuestos muchas novedades de todos ya conocidos, entre ellas la de un nuevo navegador que reemplazará al tan criticado Internet Explorer. El hecho de que Microsoft haya tomado la decisión apostar por un nuevo navegador después de tanto tiempo es con el afán de mejorar la seguridad para los usuarios(o al menos eso es lo que se cree), y que así su navegador no termine sirviendo únicamente para descargar Chrome o Firefox.



Edge, el nuevo navegador en Windows 10, representa un aumento significativo de la seguridad en comparación con Internet Explorer. Empero, también hay nuevos vectores de amenazas potenciales que no estaban presentes en las versiones anteriores de su navegador.  Veamos algunas:

* Plug-ins Integrados
Microsoft Edge ha integrado dos plug-ins utilizados en el propio navegador: Adobe Flash y un lector de PDF. Flash ha demostrado ser un riesgo de seguridad importante durante años. Si bien es cierto de que los usuarios y los sitios deberían  dejar de utilizarlo , la realidad es que en el futuro inmediato Flash no va a desaparecer aún. Los ataques dirigidos para flash continuarán siendo un problema, y el hecho que Edge lo tiene como una característica incorporada plantea en si riesgos en el camino. 

Del mismo modo, un lector de PDF integrado en el módulo windows.data.pdf.dll. Esto también podría convertirse en un objetivo potencial para un atacante en busca de un camino para vulnerar el navegador Edge.

Si bien estos representan potenciales vectores de ataque, implementados adecuadamente pueden mantenerte relativamente seguro. Tanto Google Chrome y Mozilla Firefox han implementado los plug-ins integrados sin mayores problemas; una implementación adecuada puede reducir el riesgo de los plug-ins que en general causan inseguridad.

* Soporte para asm.js
Una de las características nuevas en Edge es el soporte para asm.js. Asm.js es un subset de JavaScript altamente limitado en cuanto a lo que puede hacer y sobre lo que puede operar. De esta forma, el código compilado a Asm.js puede ejecutarse rápidamente haciendo las menores suposiciones posibles, convirtiendo el código JavaScript directamente a ensamblador.  En otros navegadores, el soporte a asm.js ha dado lugar a problemas de seguridad. En la competición anual Pwn2Own de 2015, una vulnerabilidad ( CVE-2015-0817) en la implementación de asm.js en Mozilla Firefox se utilizó con éxito para poder vulnerar el navegador. Por lo tanto, no podemos descartar la posibilidad de que podría ser una fuente de vulnerabilidades en Microsoft Edge también. 

Nuevo modelo de extensiones. Microsoft Edge introducirá un mejor soporte a las extensiones en algún momento después del lanzamiento de Windows 10. Se sabe que extensiones de Chrome y Firefox pueden ser utilizados por Microsoft Edge con relativamente pocas modificaciones , pero otros detalles no se han dejado claro. 

Estas extensiones se ejecutarán en el sandbox AppContainer, pero un sandbox no escapa de vulnerabilidades. Además, el uso de extensiones maliciosas no se puede descartar, ya sea que puede ser maliciosa desde el principio, o una extensión legítima puede ser modificada con una actualización para convertirse en  maliciosa. Sin embargo, la versión de Edge, que se lanzará con Windows 10 no tiene soporte para extensiones todavía. 

* Comparación de Seguridad del navegador Las siguientes tablas comparan las distintas características, protecciones, y vectores de ataque de varios navegadores.
Figura 1. Exploit mitigation features (Edge versus IE 11).


Figura 2. Attack surfaces

Figura 3. Exploit mitigation features (major browsers).
Resumen
Microsoft Edge representa una clara mejora en comparación con Internet Explorer 11. En concreto, la mejora de emplear sandbox y las técnicas de mitigación hace de Edge más difícil de vulnerar que su predecesor. Además, el lanzamiento de características heredadas no utilizadas reduce los posibles vectores de ataque en el navegador. En general, queremos creer que Edge ha alcanzado una paridad de seguridad con el navegador Google Chrome, ha superado un tanto a Mozilla Firefox(al menos eso piensan muchos). Sin embargo, todavía permanecen múltiples vectores de ataque que puede ser utilizados por un atacante. Dada la complejidad y las exigencias de los navegadores modernos, esto puede ser inevitable. 

Fuente: Trend Micro

No hay comentarios.:

Publicar un comentario

Tu opinión es importante para mí, porque me ayuda a mejorar. Si te gustó el articulo o tienes alguna sugerencia, déjame tu comentario con tu nombre para poder responderte tan pronto como pueda.