Scacco matto a Google Chrome. L'azienda di sicurezza francese Vupen ha dimostrato in un video di essere riuscita a superare le misure di protezione di Google Chrome su un sistema Windows.
"Abbiamo ufficialmente battuto Chrome e la sua sandbox. L'exploit mostrato in questo video è uno dei codici più sofisticati che abbiamo mai visto e creato finora. Supera tutte le caratteristiche di sicurezza, incluse ASLR, DEP e sandbox, e non si fa notare perché dopo aver eseguito il payload non avviene alcun crash. Si basa su una falla zero-day scoperta da Vupen e funziona su tutte le versioni di Windows a 32 e 64 bit".
Il filmato mostra Chrome v11.0.696.65 su un sistema Windows 7 Service Pack 1 a 64 bit, aggirato grazie alla semplice visualizzazione di una pagina Web creata ad hoc per sfruttare la vulnerabilità. Il sistema compromesso inizia a scaricare un programma da remoto e lo avvia al di fuori della sandobx con un livello d'integrità medio.
Vupen condividerà con i propri clienti - agenzie governative in primis - i dettagli tecnici della falla. Google dal canto suo si è limitata a dire che indagherà, ma al momento non è in grado di verificare le affermazioni di Vupen. Nel caso la vulnerabilità fosse confermata, Google lavorerà alla risoluzione del problema e aggiornerà il browser automaticamente.
Questo, purtroppo per gli uomini di di Google, non è l'unico grattacapo della giornata. L'azienda e gli altri sviluppatori di browser devono indagare su quello che sembra un clamoroso problema di sicurezza dello standard WebGL.
Un'azienda di sicurezza, Context Information Security, ha scovato una vulnerabilità nella tecnologia WebGL che potrebbe consentire l'esecuzione di codice arbitrario sul chip grafico di una scheda video. WebGL permette a un browser di mostrare grafica 3D in modo da offrire servizi nuovi o semplicemente migliori, come giochi o mappe online.
"Abbiamo scoperto diversi problemi nella specifica e nell'implementazione WebGL. Queste falle possono permettere a un malintenzionato di far passare del codice maligno da un browser, attaccando la GPU e i driver grafici. Questi attacchi possono rendere un sistema inutilizzabile".
"Inoltre, ci sono altri pericoli in WebGL che mettono i dati, la privacy e la sicurezza degli utenti a rischio. Questi problemi sono inerenti alla specifica e dovrebbero richiedere cambiamenti rilevanti della progettazione. Fondamentalmente WebGL permette a programmi completi su Internet di raggiungere i driver e l'hardware grafico in quella che si suppone sia la parte più protetta del computer (Modalità Kernel)".
"Basandoci su questa limitata ricerca, non crediamo che WebGL sia realmente pronto per l'uso di massa, perciò raccomandiamo agli utenti e ai manager IT di considerare la disattivazione di WebGL nei loro browser", ha dichiarato Context.
In attesa che Google e le altre aziende indaghino, la casa di Mountain View ha presentato la prima Beta di Chrome 12 (12.0.742.30). Tra le diverse novità troviamo il supporto a effetti CSS 3D, protezione contro i file maligni scaricati sul PC, la possibilità di avviare applicazioni dalla barra degli indirizzi e il supporto alla cancellazione dei cookie Flash dall'interno del browser.
Questa è la prima versione, seppur sperimentale, sprovvista di Google Gears. La casa di Mountain View ha deciso di puntare su HTML5 per offrire le stesse funzioni.
Banda larga degli italiani? Poco sopra i 2 Mbps
Amazon Cloud Player per iOS, ma ci vuole Flash
Fifa 12 lustra gli scarpini, PES è ancora in ciabatte
Nvidia compra Icera: Tegra con chip 4G?
TV 3D: boom nel 2011, ma con gli occhiali passivi
PSN online entro il 31 maggio? Anonymous lo sa
Pubblicità in buca: prepariamoci al peggio
Portatile modulare: si scompone in tablet e cellulare
Fractal Core 1000, case per chi ama il PC compatto
Catalyst 11.5, l'hotfix migliora le prestazioni di Brink
YouTube Movies è vera anti-pirateria: 2 euro a film!
Atom Cedar View con le GPU di iPhone e iPad
Samsung Galaxy S II: già 3 milioni di prenotazioni
Nokia progetta un tablet dual-screen 3D olografico
Diablo III quasi Beta, Call of Duty quasi perfetto
Philips LED 221TE2L con sintonizzatore DTT
Canon lavora ai nuovi super-teleobiettivi 400mm e 600mm Cellulare TTM Outlimits Solaris con pannello solare integrato Mio Cyclo 300 e Mio Cyclo 305 HC sono GPS da bicicletta Facebook vuole Opera per realizzare un nuovo browser? Microchip nei cetacei per studiare il clima e la fauna marina Le offerte 3 Italia per il Samsung Galaxy SIII in anteprima Steve Jobs geniale ma Cook è il capo perfetto per Apple Absinthe 2.0 per il jailbreak del Nuovo iPad e iOS 5.1.1 Google cancella 1,2 milioni di link pirata al mese TV a Ultra Alta Definizione: si parla già di standard Google cancella 1,2 milioni di link pirata al mese Video e foto niente male con i Project Glass di Google Google assolta perché Android non viola i brevetti Oracle Android Malware Genome Project apre i battenti Musica elettronica: da Robert Moog alle onde ultrasoniche Antitrust UE: ultimatum a Google sulla pubblicità online Chrome ha sorpassato definitivamente Internet Explorer Android 5 moltiplica i Google Nexus, famiglia numerosa Chrome 19 sincronizza le schede con Android ed è più sicuro Quale browser usare su un vecchio computer con Windows XP? Yahoo Axis Chrome ha sorpassato definitivamente Internet Explorer Chrome 19 sincronizza le schede con Android ed è più sicuro Stop ai browser su Windows RT, Microsoft rischia l'indagine Google rettifica tutto, Apple e Facebook sono da ammirare Google ha aggiornato il browser Chrome per Android Google contro Apple e Facebook: censurano come la Cina Google Chrome 18 porta il 3D anche sui PC più spompati Chrome sorpassa Internet Explorer: ieri la data storica Chrome e Firefox per Windows 8 Metro, che fatica!
Originariamente inviata da xhogan89x
"google indagherà" ma non erano loro a fare gli sbruffoni dicendo "chi trova una falla 10.000 dollari ecc. ecc.? ora che hanno dimostrato che google ha qualche falla seria non sono piu felici eh?
Originariamente inviata da SuperSandro
Perché sbruffoni? Se mai è il momento di dimostrare il loro coraggio: anzitutto consegnando 10mila dollari (d'accordo, per Google sono noccioline) a chi ha scoperto la falla; e poi a eliminarla.
Se dovessero riuscirci in tempi brevi - e, soprattutto, in modo soddisfacente - dimostreranno la loro serietà.
Originariamente inviata da venu
Segnalo che tra ieri e stamattina ho effettuato con chrome due micro-aggiornamenti.
Penso che il problema sia già risolto.
(versione stabile 11.0.696.65)
Originariamente inviata da venu
Segnalo che tra ieri e stamattina ho effettuato con chrome due micro-aggiornamenti.
Penso che il problema sia già risolto.
(versione stabile 11.0.696.65)
Originariamente inviata da venu
Segnalo che tra ieri e stamattina ho effettuato con chrome due micro-aggiornamenti.
Penso che il problema sia già risolto.
(versione stabile 11.0.696.65)
Google vuole test JavaScript da duri, e se li fa da sola Chrome 16 quest'anno? Firefox 5 è già in Beta Chrome, Safari, Windows 7 e iOS sempre più usati Chrome 11 ha anche il riconoscimento vocale Chrome adesso elimina anche i cookie di Flash IE9, Firefox 4, Chrome 10, Opera e Safari: chi è il migliore? Chrome, più sicurezza contro i download maligni Chrome è troppo grasso, Google pensa a una dieta Anche l'Italia avrà la sua cyber-roccaforte di difesa Windows 8 tutela i minori bloccando i siti e l'uso del PC
33 commenti
Commenti