Linkedin-in Youtube Twitter Facebook-f Instagram
  • +55 (11) 3255 -3926
  • contato@ibliss.com.br
  • Home
  • A IBLISS
    • Responsabilidade Social
  • Nossos Serviços
    • Consultoria em Cibersegurança
    • Teste de Intrusão
    • Conscientização & Cultura
    • Serviços Gerenciados
    • Compliance & Governança
    • AppSec & DevSecOps
  • Conteúdos
    • Blog
    • Materiais Ricos
    • Boletins de vulnerabilidades
  • Oportunidades
  • Contato
IBLISS Digital Security
  • A IBLISS
    • Nossa Equipe
    • Responsabilidade Social
  • Aviso de Privacidade
  • Blog Minuto Proteção
  • Boletins de vulnerabilidades
  • Contato
  • E-book Programa de Conscientização em Segurança da Informação
  • Home
  • IBLISS + GAT Security score
  • Infográfico Gestão de Vulnerabilidades – um passo em direção a um caminho seguro
  • Infográfico Por que investir em um Programa de Conscientização?
  • Infográfico RESILIÊNCIA CIBERNÉTICA
  • Materiais Ricos
  • Nosso Propósito
  • Nossos Serviços
    • AppSec & DevSecOps
      • Análise SAST e DAST
      • Revisão de Segurança (ASVS)
    • Compliance & Governança
    • Conscientização & Cultura
    • Consultoria em Cibersegurança
      • Teste de Intrusão
    • Serviços Gerenciados
  • Oportunidades
  • Parceiros tecnológicos
  • Política de Cookies
  • Política de segurança da informação – fornecedores, parceiros e prestadores de serviços
  • Política de Segurança de Alto Nível

Blog Minuto Proteção

  • Home
  • Blog Minuto Proteção
  • Segurança Digital
  • Nova falha no Google Chrome
Segurança Digital

Nova falha no Google Chrome

A história
Desde o lançamento do navegador Chrome, da Google, um de seus mais notáveis recursos de segurança era a sandbox. Para se ter uma ideia, o navegador foi o único que sobreviveu por três anos ao concurso Pwn2Own, em que os hackers participantes têm como objetivo explorar as falhas dos navegadores e sistemas operacionais.

A sandbox do Chrome deveria fazer com que todos os programas fossem executados em um ambiente restrito, sem acesso à memória, ao disco ou outros recursos do computador. Mas, no ano passado, a empresa francesa Vupen Security conseguiu quebrar a proteção sandbox do browser, revelando a primeira grande vulnerabilidade do Chrome (na versão 11.0.696.65).

A Vupen criou um código que faz com que o navegador baixe e execute um arquivo qualquer fora da sandbox. No caso, eles escolheram uma calculadora, mas poderia ser qualquer tipo de arquivo malicioso.

Assista ao vídeo que demonstra a falha sendo explorada pela Vupen

Na época, engenheiros de segurança da Google afirmaram que a Vupen usou uma vulnerabilidade encontrada no Adobe Flash para fazer a sandbox do Chrome falhar. Como o Flash está embutido em todas as instalações do Chrome, a descoberta deu origem a uma grande polêmica: Seria o Chrome vulnerável ou pelo fato de a falha estar especificamente no plugin da Adobe, o navegador do Google ainda poderia ser considerado seguro?

Chaouki Bekrar, chefe da pesquisa feita pela Vupen, elogiou o trabalho da equipe de segurança da Google. “O sandbox do Chrome é o mais seguro. Não é uma tarefa fácil criar um exploit para vencer todas as suas proteções. Posso dizer que o Chrome é um dos navegadores mais seguros disponíveis”. Mas defendeu que nenhum software é inviolável se houver suficiente motivação e habilidade por parte dos hackers.

Novas descobertas
Durante o Pwn2Own deste ano, no início de março, a Vupen hackeou, em menos de cinco minutos, a sandbox do Google Chrome. Sabendo que a Vupen já havia explorado os pontos fracos do Flash, a Google havia adicionado uma proteção específica para o plugin.

Quando perguntado se o código defeituoso veio da Adobe, Chaouki Bekrar disse: “Foi uma vulnerabilidade encontrada na instalação padrão do Chrome, portanto não importa se o código é de terceiros ou não”.

Dias depois, especialistas da empresa turca Arf Iskenderun Technologies divulgaram ter encontrado nova vulnerabilidade numa versão mais recente (17.0.963.78) do que a hackeada pela Vupen (17.0.963.66). Segundo a empresa, a vulnerabilidade persiste na versão atualizada do Chrome (17.0.963.79).

Neste vídeo, os especialistas turcos atacam a sandbox do Chrome na mesma versão hackeada pela Vupen

Neste outro vídeo, os especialistas da Arf Iskenderun Technologies hackeiam a versão 17.0.963.78, mais recente, do Chrome

Moral da história
A segurança deve ser feita em camadas. Não dá para confiar somente na segurança do navegador, de um aplicativo ou da rede. É necessário que todos controles de segurança estejam em harmonia para prover um nível de proteção satisfatório.

fontes:
TecnoBlog
TecnoBlog
Baboo Forum
The Hackers News
GMA News

Hackers éticos Pesquisas Vulnerabilidades
Whitfield Diffie e Ron Rivest debatem falha no sistema de criptografia RSA
29 de março de 2012
Setor de segurança cibernética cresce duas vezes mais que TI
9 de abril de 2012

Leave a comment Cancelar resposta

Você precisa fazer o login para publicar um comentário.

Postagens Recentes

  • O Papel da Segurança da Informação no Caso PIX: Lições dos Controles NIST e ISO 27001
  • IBLISS anuncia nova fase de crescimento e reforça time executivo com foco em CTEM
  • Qual a importância em investir em um Programa de Conscientização?
  • Teste de Invasão: Conheça as principais vantagens
  • A importância dos testes de invasão para médias e pequenas empresas

Contato

Av. Angélica, 2582
2° Andar
CEP 01228-200
Bela Vista
São Paulo / SP

contato@ibliss.com.br

+55 (11) 3255 -3926

Links

  • A IBLISS
  • Nossos Serviços
  • Blog
  • Oportunidades
  • Contato
  • Aviso de Privacidade
  • Política de Cookies
  • Política de Segurança de Alto Nível
  • PSI – Fornecedores & Parceiros

Siga a IBLISS

Linkedin Youtube Facebook Instagram Twitter

Newsletter

© 2022 IBLISS Digital Security. Todos os direitos reservados. Desenvolvido por QMove.

Utilizamos cookies e outras tecnologias semelhantes para garantir que você obtenha a melhor experiência em nosso site. Consulte a Política de Cookies. Além disso, ao continuar navegando, você está ciente com o nosso Aviso de Privacidade.