Firefox a-t-il quelque chose de similaire à ActiveX en termes de vulnérabilités de sécurité?

Les gens disent toujours que Linux est plus sécurisé que Windows. La principale raison semble être la philosophie générale de conception du système et le fait que les utilisateurs sont des utilisateurs et non root.

Un problème de sécurité principal lors de l'utilisation de Windows et d'Internet Explorer semble être ActiveX. Tous les quelques jours, je lis un autre type d'exploit utilisant ActiveX, et presque toujours la solution consiste à désactiver ActiveX. Je lis si souvent que je me demande pourquoi les gens prennent la peine d'activer ActiveX. (Une raison peut être que le nom contient "actif"; une autre peut être la fonction de mise à jour de Windows.)

En utilisant Ubuntu et Firefox, je me sens toujours en sécurité lorsque je lis des exploits ActiveX. Je sais qu'il existe de nombreuses autres vulnérabilités de sécurité qui utilisent JavaScript et / ou Adobe Flash, mais pour autant que je comprends ce type de vulnérabilités de sécurité ne peut faire autant de dégâts que mes droits d'utilisateur le permettent. Bien sûr, cela n'aide pas beaucoup lorsque le logiciel malveillant veut détruire toutes mes données - mais la plupart des logiciels malveillants aujourd'hui ne veulent utiliser mon PC que comme un drone de botnet et ne sont donc pas intéressés à détruire mes données.

Donc, la question est de nouveau: Firefox fonctionnant sous Ubuntu a-t-il quelque chose de similaire à ActiveX, en termes de vulnérabilités de sécurité?

Autre question qui peut être identique: une vulnérabilité de sécurité impliquant Adobe Flash et / ou JavaScript peut-elle être "facilement" exploitée pour faire autant de dégâts qu'un exploit ActiveX?

Quand je dis «facile», je veux dire que l'attaque n'a pas besoin d'exploiter un autre composant du système pour élever les droits des utilisateurs. Par exemple, un exploit impliquant Adobe Flash aura accès à mon PC en utilisant mes droits d'utilisateur, puis procédera à l'exploitation d'une vulnérabilité connue Xpour obtenir un accès root. Ce n'est pas "facile".

Firefox sous Ubuntu a-t-il quelque chose de similaire à ActiveX, en termes de vulnérabilité de sécurité?

'ActiveX' peut être considéré en deux parties, le modèle d'objet et la méthode d'installation. Firefox a quelque chose de similaire - et compatible multiplateforme, Ubuntu ou autre - pour les deux.

Le modèle objet d'ActiveX est Microsoft COM ; L'équivalent de Firefox est XPCOM . De nombreuses autres fonctionnalités et applications Windows qui n'ont rien à voir avec la navigation Web utilisent MS COM, et il y a toujours eu des problèmes sans fin où des contrôles COM qui n'étaient pas écrits pour une utilisation Web sécurisée étaient néanmoins disponibles pour les pages Web. Cela a provoqué de nombreux compromis. Firefox est mieux ici car XPCOM n'est pas partagé avec le reste du système. Les nouvelles versions d'IE ont de meilleurs contrôles pour atténuer quels sites sont autorisés à utiliser quels contrôles.

(Comme problème secondaire, car de nombreux modules complémentaires pour Firefox sont eux-mêmes écrits en JavaScript, un langage de script de haut niveau, ils sont souvent plus protégés contre les dépassements de tampon et les erreurs de gestion des chaînes que les extensions pour IE qui sont généralement écrites en C [ ++].)

La partie contrôle-téléchargement d'ActiveX a également été nettoyée un peu depuis le mauvais vieux temps où quoi que ce soit dans la zone Poste de travail pouvait installer n'importe quel logiciel qu'il aimait, et des scripts de chargeur agressifs pouvaient vous piéger dans une alertboucle jusqu'à ce que vous acceptiez d'approuver ActiveX rapide. L'équivalent de Firefox, XPInstall , se comporte en grande partie de la même manière, avec la «barre d'informations» sur tous les sites sauf Mozilla par défaut et un avertissement / invite approprié avant l'installation.

Il existe une autre façon intégrée de vous compromettre dans Mozilla: les scripts signés . Je n'ai jamais vu cela utilisé, et il y aura certainement une autre fenêtre d'avertissement avant qu'un script n'obtienne des droits supplémentaires, mais cela m'inquiète un peu que cela soit disponible pour les pages Web.

par exemple un exploit via flash aura accès à mon pc sous mes droits d'utilisateur

Oui, la majorité des exploits Web se produisent aujourd'hui dans des plugins. Adobe Reader, Java (*) et QuickTime sont les plus populaires / vulnérables. IMO: débarrassez-vous de ceux-ci et utilisez FlashBlock pour n'afficher Flash que lorsque vous le souhaitez.

(*: et les dialogues de Java avant de vous permettre de renoncer à toute sécurité à une applet non fiable sont un peu nus aussi.)

Ubuntu vous offre par défaut des plugins discutable, en particulier un plugin de lecteur multimédia qui rendra toutes les vulnérabilités de l'un de vos codecs multimédias exploitables sur le Web (similaire au plugin Windows Media Player, mais potentiellement avec beaucoup plus de formats). Bien que je n'aie pas encore rencontré un exploit ciblant Linux comme celui-ci, ce n'est vraiment que de la sécurité par l'obscurité.

Notez qu'ActiveX lui-même n'est pas différent. Un compromis de navigateur Web basé sur ActiveX ne donne toujours qu'un accès de niveau utilisateur; c'est uniquement parce qu'avant Vista, tout le monde exécutait habituellement tout en tant qu'administrateur que cela s'est transformé en un enracinement complet.

puis suivez pour exploiter une vulnérabilité connue de X pour obtenir les droits root. ce n'est pas "facile".

Peut-être peut-être pas. Mais je pense que vous constaterez que les dommages que certains logiciels malveillants peuvent causer, même à partir d'un compte d'utilisateur normal, sont assez graves. Copiez toutes vos données personnelles, observez vos touches, supprimez tous vos documents ...

Cela dépend de la nature de la vulnérabilité. Parfois, vous êtes "chanceux" et la vulnérabilité "juste" permet une divulgation limitée, mais souvent les vulnérabilités permettent l'exécution de code arbitraire. À ce stade, vous êtes dans un doo-dah profond, tout aussi profond que les problèmes ActiveX. Et ces trous peuvent être dans la gestion des fichiers image (images malveillantes), ou pour le son, ou presque n'importe quoi d'autre.

ActiveX était pire car il permettait aux rédacteurs de code de déclarer "Si cela est installé, il est sûr d'être référencé à partir d'une page Web" et de nombreux codeurs l'ont activé sans comprendre les implications, donc il y avait beaucoup de cibles et il serait facile de sortir. Mais vous êtes tout aussi exposé à une mauvaise gestion des nombres étranges dans les fichiers image. C'est juste que les problèmes de fichiers image sont résolus en mettant à jour le navigateur.

La seule défense contre tout cela est d'utiliser le sandboxing, ce qui limite ce qu'un processus exécuté en tant qu'utilisateur peut faire. OpenBSD a été le premier à rendre cela populaire avec la séparation des privilèges de divers démons (notamment OpenSSH, vous l'utilisez donc sur Ubuntu maintenant). Chrome l'a popularisé pour les navigateurs Web, mais il n'y a que le sandboxing sur certaines plates-formes. Ironiquement peut-être, pendant un certain temps, vous étiez probablement plus en sécurité avec Chrome sous Windows qu'avec n'importe quel navigateur graphique sous Linux. Heureusement, cela change. Je crois qu'une certaine protection partielle est maintenant dans les versions Linux.

http://www.cl.cam.ac.uk/research/security/capsicum/ est bon si vous souhaitez explorer les systèmes de capacités pour les bacs à sable et voir comment les choses pourraient s'améliorer.

AFAIK un exploit ActiveX ne peut pas non plus faire de mal en dehors des droits de votre utilisateur (sans utiliser d'autres exploits, comme vous l'indiquez). Le principal problème sous Windows était que presque tout le monde travaillait comme administrateur la plupart du temps ...

Je veux juste mentionner que Linux est théoriquement moins sûr que Windows 7, qui a des fonctionnalités de sécurité intéressantes.

La raison pour laquelle il n'y a pas de virus Linux est la même raison pour laquelle il n'y a presque pas de jeux Linux commerciaux: les producteurs vont avec les masses et les masses utilisent Windows.

Le moyen le plus sûr est donc d'utiliser des produits alternatifs (comme Firefox il y a quelques années, aujourd'hui les exploits de Firefox sont assez souvent utilisés).

Maintenant, pour répondre à vos questions: Autant que je sache, ActiveX-Exploits ne concerne pas Firefox.

Je me sens assez sûr de naviguer avec Linux et Firefox, mais l'utilisation d'Opera pourrait être plus sécurisée car Opera est beaucoup moins populaire.

Ce que vous devriez considérer est d'avoir un mot de passe fort si votre SSH est ouvert à Internet car il y a beaucoup de scanners qui essaient de pirater votre ssh pour installer des choses étranges sur votre PC (désactivez l'accès direct à la racine dans / etc / ssh / sshd_config).

Je pense que la plupart des autres attaques sont spécifiques à un utilisateur, donc si vous n'avez pas de secrets d'entreprise ou d'ennemis en général, votre ordinateur devrait être assez sûr.