Firefox는 보안 취약점 측면에서 ActiveX와 유사한 기능을 가지고 있습니까?

8

사람들은 항상 리눅스가 Windows보다 안전하다고 말합니다. 주된 이유는 일반적인 시스템 설계 철학과 사용자가 사용자가 아니라 루트라는 사실이기 때문입니다.

Windows 및 Internet Explorer 사용시 주요 보안 문제 중 하나는 ActiveX 인 것 같습니다. 며칠마다 ActiveX를 사용하는 다른 종류의 익스플로잇에 대해 읽었으며 해결 방법은 거의 항상 ActiveX를 비활성화하는 것입니다. 사람들이 왜 ActiveX를 전혀 활성화하지 않는지 궁금합니다. 한 가지 이유는 이름에 "active"가 포함되어 있고 다른 하나는 Windows 업데이트 기능 일 수 있습니다.

Ubuntu와 Firefox를 사용하면 ActiveX 익스플로잇에 대해 읽을 때 항상 안전하다고 생각합니다. JavaScript 및 / 또는 Adobe Flash를 사용하는 다른 보안 취약점이 많이 있음을 알고 있지만, 이러한 보안 취약점은 사용자 권한이 허용하는 한도까지만 손상 될 수 있음을 이해합니다. 물론 악성 코드가 모든 데이터를 파괴하려고 할 때별로 도움이되지는 않지만 오늘날 대부분의 맬웨어는 내 PC를 봇넷 드론으로 사용하기를 원하므로 내 데이터 파괴에 관심이 없습니다.

다시 질문 : Ubuntu에서 실행되는 Firefox에는 보안 취약점 측면에서 ActiveX와 비슷한 것이 있습니까?

동일 할 수있는 또 다른 질문 : Adobe Flash 및 / 또는 JavaScript와 관련된 보안 취약점을 "쉽게"악용하여 ActiveX 악용만큼 많은 피해를 줄 수 있습니까?

"쉬운"이라고 말하면 공격이 사용자 권한을 높이기 위해 시스템의 다른 구성 요소를 이용할 필요가 없다는 것을 의미합니다. 예를 들어 Adobe Flash와 관련된 익스플로잇은 내 사용자 권한을 사용하여 내 PC에 액세스 한 다음 알려진 일부 취약점을 악용 X하여 루트 액세스 권한을 얻습니다. 그것은 "쉬운"것이 아닙니다.

security  firefox 
레즈 마나
소스
2
ActiveX 익스플로잇은 IE로 제한되지 않습니다. 그들은 Windows로 제한됩니다. Windows의 Firefox는 ActiveX를 수행 할 수 있습니다.
maco
내가 마지막으로 보았을 때 Windows의 Firefox는 기본적으로 설치되지 않은 플러그인으로 ActiveX를 (부분적으로) 할 수 있습니다. (또한 Windows뿐만 아니라 WINE에서도 작동합니다.)
JanC

답변:

8

우분투에서 파이어 폭스는 보안 취약점 측면에서 activeX와 비슷한 것을 가지고 있습니까?

'ActiveX'는 개체 모델과 설치 방법의 두 부분으로 간주 될 수 있습니다. 파이어 폭스는 두 가지 모두 비슷한 플랫폼 호환성을 가지고있다.

ActiveX의 개체 모델은 Microsoft COM입니다 . Firefox와 동등한 기능은 XPCOM 입니다. 웹 브라우징과 관련이없는 다른 많은 Windows 기능과 응용 프로그램은 MS COM을 사용하며, 안전한 웹 사용을 위해 작성되지 않은 COM 컨트롤을 웹 페이지에서 사용할 수있는 경우에는 끝없는 문제가있었습니다. 이것은 많은 타협을 일으켰습니다. XPCOM이 나머지 시스템과 공유되지 않기 때문에 Firefox가 더 좋습니다. 최신 버전의 IE는 어떤 사이트에서 어떤 컨트롤을 사용할 수 있는지 완화하기 위해 더 나은 컨트롤을 제공합니다.

(부수적 인 문제로, Firefox 용 많은 애드온은 자체적으로 고급 스크립팅 언어 인 JavaScript로 작성되기 때문에 C로 일반적으로 작성된 IE 용 확장 프로그램보다 버퍼 오버플로 및 문자열 처리 오류로부터 더 안전합니다. ++].)

ActiveX의 컨트롤 다운로더 부분은 또한 내 컴퓨터 영역에있는 어떤 것이 든 원하는 소프트웨어를 설치할 수 alert있고 ActiveX가 승인 될 때까지 공격적인 로더 스크립트가 루프 에 갇힐 수 있었기 때문에 나쁜 옛날부터 약간 정리되었습니다. 신속한. Firefox와 동등한 XPInstall 은 기본적으로 Mozilla 사이트를 제외한 모든 사이트에 '정보 표시 줄'이 있고 설치 전에 적절한 경고 / 프롬 트를 사용하여 거의 비슷하게 동작합니다.

Mozilla에서 또 다른 기본 제공 방법은 서명 된 스크립트 입니다. 나는 이것이 실제로 사용 된 것을 본 적이 없으며, 스크립트가 추가 권한을 얻기 전에 다른 경고 창이 나타날 것이지만, 이것이 웹 페이지에서 전혀 사용 가능하지 않을까 걱정됩니다.

예를 들어 플래시를 통한 익스플로잇은 내 사용자 권한에 따라 내 PC에 액세스합니다.

예, 오늘날 대부분의 웹 익스플로잇은 플러그인에서 발생합니다. Adobe Reader, Java (*) 및 QuickTime이 가장 인기 있고 취약합니다. IMO :이를 제거하고 FlashBlock을 사용하여 원하는 때에 만 Flash를 표시하십시오.

(* : 신뢰할 수없는 애플릿에 대한 모든 보안을 포기하기 전의 Java 대화도 약간 노출되어 있습니다.)

우분투는 기본적으로 의심스러운 플러그인, 특히 미디어 코덱의 모든 취약점을 웹을 통해 악용 할 수있는 미디어 플레이어 플러그인을 제공합니다 (Windows Media Player 플러그인과 유사하며 더 많은 형식으로 만 가능). 필자는 이와 같은 Linux를 대상으로하는 익스플로잇을 아직 만나지 않았지만 실제로는 모호함을 통한 보안입니다.

ActiveX 자체는 다르지 않습니다. ActiveX를 기반으로하는 웹 브라우저 손상은 여전히 ​​사용자 수준 액세스 만 제공합니다. 비스타 이전에는 모든 사람이 습관적으로 관리자로 모든 것을 실행했기 때문에 이것이 완전히 뿌리 내 렸습니다.

그런 다음 X의 알려진 취약점을 악용하여 루트 권한을 얻습니다. 그것은 "쉬운"것이 아닙니다.

그럴 수도 있고 아닐 수도 있고. 그러나 일반 사용자 계정으로 인해 일부 악성 코드가 손상을 입을 수 있다고 생각합니다. 모든 개인 데이터를 복사하고 키 누르기를 관찰하고 모든 문서를 삭제하십시오 ...

보 빈스
소스
가능할 때마다 우분투는 버퍼 오버플로 (NX 비트, SSP, PIE, ASLR 등)를 이용하기 전에 버퍼 오버플로를 포착하기 위해 미디어 플레이어 플러그인이 비교적 안전 할 수 있습니다.
JanC
예, IE는 이후 버전 (Vista SP1 +)에서 동일한 보호 기능을 많이 가지고 있습니다. 여전히 휴식이있었습니다. 우선 취약한 소프트웨어를 갖지 않는 것에 대한 대안은 없습니다.
bobince
4

취약점의 특성에 따라 다릅니다. 때때로 당신은 "운이 좋고"취약점 "그냥"은 제한된 공개를 허용하지만,이 취약점으로 인해 임의 코드가 실행될 수 있습니다. 이 시점에서 ActiveX 문제만큼이나 깊습니다. 그리고 이러한 구멍은 이미지 파일 (악의적 인 이미지)이나 사운드 또는 거의 모든 것을 처리하는 데 사용될 수 있습니다.

ActiveX는 코드 작성자가 "설치되어 있으면 웹 페이지에서 참조해도 안전합니다"라고 선언 할 수있는 방법을 제공했기 때문에 더 나빴으며 많은 코더가 영향을 이해하지 않고 켰습니다. 따라서 많은 대상이있었습니다. 나가기 쉬울 것입니다. 그러나 이미지 파일에서 이상한 숫자를 잘못 처리하면 노출이 많이 발생합니다. 브라우저를 업데이트하여 이미지 파일 문제를 해결하는 것입니다.

이에 대한 유일한 방어책은 샌드 박스를 사용하는 것인데, 이는 사용자로서 실행중인 프로세스가 수행 할 수있는 작업을 제한합니다. OpenBSD는 다양한 데몬 (특히 OpenSSH의 특권 분리)으로 이것을 널리 사용하기 시작했으며, 우분투에서 이것을 사용하고 있습니다. Chrome은 웹 브라우저에서이를 대중화했지만 일부 플랫폼에서는 샌드 박스 만 제공합니다. 아이러니하게도, 아마도 당신은 아마 리눅스의 그래픽 브라우저보다 Windows의 Chrome을 사용하는 것이 더 안전했을 것입니다. 다행히도 이것은 변하고 있습니다. 나는 일부 부분 보호가 현재 Linux 릴리스에 있다고 생각합니다.

샌드 박스에 대한 기능 시스템을 탐색하고 상황이 어떻게 개선되는지 보려면 http://www.cl.cam.ac.uk/research/security/capsicum/ 이 좋습니다.

필 피
소스
1

AFAIK ActiveX 익스플로잇은 다른 익스플로잇을 사용하지 않고도 사용자의 권리를 침해 할 수 없습니다. Windows의 주요 문제는 거의 모든 사람들이 대부분 관리자 로 일하고 있다는 것입니다.

1 월
소스
악의적 인 프로세스가 내 사용자로 실행되기 시작했는지 여전히 마음에 듭니다. 몇 TB의 개인 및 상업용 데이터에 액세스 할 수 있으며 일부는 교체하는 데 시간이 오래 걸립니다.
올리
물론 Netscape 플러그인, Mozilla / Firefox .xpi 확장자 등도 마찬가지입니다.
JanC
-2

필자는 Linux가 이론적으로 Windows 7보다 안전하지 않다는 점을 언급하고 싶습니다. 멋진 보안 기능이 있습니다.

Linux 바이러스가없는 이유는 상용 Linux 게임이 거의없는 이유와 같습니다. 제작자가 대중과 함께 가고 대중이 Windows를 사용합니다.

따라서 가장 안전한 방법은 대체 제품을 사용하는 것입니다 (Firefox는 몇 년 전과 마찬가지로 오늘날 Firefox 익스플로잇은 매우 자주 사용됩니다).

이제 귀하의 질문에 대답하십시오 : 내가 알고있는 한 ActiveX-Exploits는 Firefox와 관련이 없습니다.

Linux와 Firefox를 사용하여 검색하는 것이 안전하다고 생각하지만 Opera가 인기가 적기 때문에 Opera를 사용하는 것이 더 안전 할 수 있습니다.

SSH가 인터넷에 열려 있으면 PC에 이상한 것을 설치하기 위해 ssh를 해킹하려고 시도하는 스캐너가 많으므로 (/ etc / ssh / sshd_config에서 직접 루트 액세스 비활성화) 강력한 암호를 사용하는 것이 좋습니다.

대부분의 다른 공격은 한 명의 사용자에게만 해당되므로 일반적으로 회사 비밀이나 적이없는 경우 컴퓨터는 매우 안전해야합니다.

sBlatt
소스
어쨌든 SSH에서 비밀번호 기반 로그인을 허용해서는 안됩니다. SSH 키를 사용하십시오.
maco
4
첫 번째 문장의 기본 가정이 잘못되었습니다. "멋진 보안 기능"이 있어도 시스템이 더 안전하지는 않습니다. 단순함은 안전한 디자인에서 큰 미덕입니다. 복잡한 기능은 항상 오해되고 오용됩니다.
Gilles 'SO- 악마 그만'
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.