Chrome é invadido em desafio de hackers
5 participantes
Página 1 de 1
Chrome é invadido em desafio de hackers
A VUPEN, uma empresa que vende vulnerabilidades e exploits para clientes do governo, mandou ao Chrome este ano uma mensagem simples: nenhum software é inviolável se os hackers possuem motivação suficiente para preparar e lançar um ataque.
Chaouki Bekrar co-fundador e chefe de pesquisa da VUPEN e sua equipe usaram um par de vulnerabilidades tipo "zero day" para assumir o controle total de uma máquina de Windows 7 (SP1) de 64 bits totalmente atualizada. Como parte do novo formato da competição, a VUPEN ganhará 32 pontos para a exploração bem-sucedida do Chrome.
Em uma entrevista, Bekrar disse que sua equipe trabalhou durante cerca de seis semanas até encontrar as vulnerabilidades e gravar as façanhas. "Tivemos que usar duas vulnerabilidades. O primeiro foi contornar a DEP e ASLR no Windows e um segundo para sair da caixa de proteção (sandbox) do Chrome."
Bekrar recusou-se a dizer qualquer coisa se códigos de terceiros foram alvo no navegador. "Foi uma vulnerabilidade da instalação padrão do Chrome", nós trabalhamos explorando a instalação padrão por isso realmente não importa se é um código de terceiro."
No ano passado, VUPEN lançou um vídeo para demonstrar uma escapada bem-sucedida do sandbox do Chrome, mas o Google desafiou a validade desse feito, alegando que explorar código de terceiros não era válido, acreditou-se na época que era explorada uma falha do plug-in Adobe Flash Player.
Na Pwn2Own este ano, equipe da Bekrar veio equipado para falhas zero day para todos os quatro principais navegadores — Google Chrome, Microsoft Internet Explorer, Apple Safari e Mozilla Firefox — mas ele disse que a decisão de quebrar primeiro o Chrome foi uma tática deliberada.
"Nós queríamos mostrar que o Chrome não era inquebrável. No ano passado, vimos um monte de artigos que ninguém poderia invadir o Chrome, nós queríamos que todos soubessem de que ele foi o primeiro a cair este ano," disse ele.
Bekrar criou uma página da web para demonstrar seu exploit. Uma vez que o site foi visitado, o exploit funcionou e abriu a aplicação calculadora (Calc. exe) fora do sandbox. "Não houve nenhuma interação do usuário, nada de cliques extras. Visitou o site, bateu com a cara na parede."
Mesmo na glória de derrotar o altamente elogiado sandbox do Chrome, Bekrar foi muito cortes sobre o trabalho realizado pela equipe de segurança do Google que adicionou mecanismos anti-exploit no navegador. "O sandbox do Chrome é o mais seguro. Não é uma tarefa fácil criar um exploit para vencer todas as proteções no sandbox. Posso dizer que o Chrome é um dos navegadores mais seguros disponíveis." e adicionou o puxão de orelhas "Isso só mostra que qualquer navegador ou qualquer software, pode ser invadido se houver suficiente motivação e habilidade."
A competição continua, Internet Explorer, Apple Safari e Mozilla Firefox sem dúvida serão as próximas vítimas.
phreaker-
Mensagens : 1361
Pontos de Participação : 3466
Reputação : 225
Data de inscrição : 07/01/2012
Respeito as regras :
Re: Chrome é invadido em desafio de hackers
Vish!
O google não tava oferecendo um dinheirão pra quem descobrisse uma falha? Feliz do cara/equipe que descobriu...
O google não tava oferecendo um dinheirão pra quem descobrisse uma falha? Feliz do cara/equipe que descobriu...
Blackout-
Mensagens : 1407
Pontos de Participação : 2522
Reputação : 252
Idade : 32
Data de inscrição : 25/01/2012
Respeito as regras :
Re: Chrome é invadido em desafio de hackers
Realmente mtt feliz do grupo q conseguiu poaskpoask ... mas falhas existem muitas no chrome
Convidad- Convidado
Re: Chrome é invadido em desafio de hackers
Nada no mundo é seguro
Vansheeler-
Mensagens : 662
Pontos de Participação : 1650
Reputação : 153
Idade : 28
Data de inscrição : 31/12/2011
Respeito as regras :
Re: Chrome é invadido em desafio de hackers
Nada é seguro porque é o que sempre falo, foi humanos que criou máquinas
n3tt3rz-
Mensagens : 1851
Pontos de Participação : 2994
Reputação : 259
Idade : 47
Localização : /var/www
Data de inscrição : 19/01/2012
Respeito as regras :
Re: Chrome é invadido em desafio de hackers
Google deveria da o 1 milhao pra eles '-'
Iam começa a invadir todo dia kkkk!
Iam começa a invadir todo dia kkkk!
Gr1mM0v3-
Mensagens : 357
Pontos de Participação : 791
Reputação : 83
Idade : 28
Data de inscrição : 10/02/2012
Respeito as regras :
Página 1 de 1
Permissões neste sub-fórum
Não podes responder a tópicos