Linkedin-in Youtube Twitter Facebook-f Instagram
  • +55 (11) 3255 -3926
  • contato@ibliss.com.br
IBLISS – Consultoria em Segurança Cibernética
  • Home
  • A IBLISS
  • Nossos Serviços
    • Consultoria em Cibersegurança
    • Governança, Risco e Compliance (GRC)
    • Serviços Gerenciados (MSS)
    • Teste de Intrusão
    • Conscientização e Cultura
    • AppSec & DevSecOps
  • Blog
  • Oportunidades
  • Contato
IBLISS – Consultoria em Segurança Cibernética
  • A IBLISS
    • Nossa Equipe
    • Responsabilidade Social
  • Blog Minuto Proteção
  • Contato
  • Home
  • Nosso Propósito
  • Nossos Serviços
    • AppSec & DevSecOps
      • Análise SAST e DAST
      • Revisão de Segurança (ASVS)
    • Conscientização e Cultura
    • Consultoria em Cibersegurança
      • Teste de Intrusão
    • Governança, Risco e Compliance (GRC)
    • Serviços Gerenciados (MSS)
  • Parceiros
  • Política de Alto Nível
  • Política de Privacidade

Blog Minuto Proteção

  • Home
  • Blog Minuto Proteção
  • Segurança Digital
  • Nova falha no Google Chrome
Segurança Digital
_ 4 de abril de 2012

Nova falha no Google Chrome

A história
Desde o lançamento do navegador Chrome, da Google, um de seus mais notáveis recursos de segurança era a sandbox. Para se ter uma ideia, o navegador foi o único que sobreviveu por três anos ao concurso Pwn2Own, em que os hackers participantes têm como objetivo explorar as falhas dos navegadores e sistemas operacionais.

A sandbox do Chrome deveria fazer com que todos os programas fossem executados em um ambiente restrito, sem acesso à memória, ao disco ou outros recursos do computador. Mas, no ano passado, a empresa francesa Vupen Security conseguiu quebrar a proteção sandbox do browser, revelando a primeira grande vulnerabilidade do Chrome (na versão 11.0.696.65).

A Vupen criou um código que faz com que o navegador baixe e execute um arquivo qualquer fora da sandbox. No caso, eles escolheram uma calculadora, mas poderia ser qualquer tipo de arquivo malicioso.

Assista ao vídeo que demonstra a falha sendo explorada pela Vupen

Na época, engenheiros de segurança da Google afirmaram que a Vupen usou uma vulnerabilidade encontrada no Adobe Flash para fazer a sandbox do Chrome falhar. Como o Flash está embutido em todas as instalações do Chrome, a descoberta deu origem a uma grande polêmica: Seria o Chrome vulnerável ou pelo fato de a falha estar especificamente no plugin da Adobe, o navegador do Google ainda poderia ser considerado seguro?

Chaouki Bekrar, chefe da pesquisa feita pela Vupen, elogiou o trabalho da equipe de segurança da Google. “O sandbox do Chrome é o mais seguro. Não é uma tarefa fácil criar um exploit para vencer todas as suas proteções. Posso dizer que o Chrome é um dos navegadores mais seguros disponíveis”. Mas defendeu que nenhum software é inviolável se houver suficiente motivação e habilidade por parte dos hackers.

Novas descobertas
Durante o Pwn2Own deste ano, no início de março, a Vupen hackeou, em menos de cinco minutos, a sandbox do Google Chrome. Sabendo que a Vupen já havia explorado os pontos fracos do Flash, a Google havia adicionado uma proteção específica para o plugin.

Quando perguntado se o código defeituoso veio da Adobe, Chaouki Bekrar disse: “Foi uma vulnerabilidade encontrada na instalação padrão do Chrome, portanto não importa se o código é de terceiros ou não”.

Dias depois, especialistas da empresa turca Arf Iskenderun Technologies divulgaram ter encontrado nova vulnerabilidade numa versão mais recente (17.0.963.78) do que a hackeada pela Vupen (17.0.963.66). Segundo a empresa, a vulnerabilidade persiste na versão atualizada do Chrome (17.0.963.79).

Neste vídeo, os especialistas turcos atacam a sandbox do Chrome na mesma versão hackeada pela Vupen

Neste outro vídeo, os especialistas da Arf Iskenderun Technologies hackeiam a versão 17.0.963.78, mais recente, do Chrome

Moral da história
A segurança deve ser feita em camadas. Não dá para confiar somente na segurança do navegador, de um aplicativo ou da rede. É necessário que todos controles de segurança estejam em harmonia para prover um nível de proteção satisfatório.

fontes:
TecnoBlog
TecnoBlog
Baboo Forum
The Hackers News
GMA News

Hackers éticos Pesquisas Vulnerabilidades
♥1
Whitfield Diffie e Ron Rivest debatem falha no sistema de criptografia RSA
29 de março de 2012
Setor de segurança cibernética cresce duas vezes mais que TI
9 de abril de 2012

Leave a comment Cancelar resposta

Você precisa fazer o login para publicar um comentário.

Postagens Recentes

  • Como manter a segurança de nossas crianças na Internet?
  • Seus colaboradores estão prontos para os desafios trazidos pela Segurança da Informação e Privacidade?
  • Resiliência Cibernética: como está sua resposta ao incidente?
  • IBLISS Digital Security anuncia parceria com a empresa INVIRON
  • IBLISS conquista certificação GPTW pelo terceiro ano consecutivo

Categorias

  • Acontece na IBLISS
  • Ameaças
  • AppSec & DevSecOps
  • Ataques Cibernéticos
  • Blog
  • Cibersegurança
  • Consciencialização
  • Conscientização
  • Cyber Protection
  • Diário de Um Pentester
  • eBook
  • Education
  • Estratégia em Segurança
  • Eventos
  • GDPR
  • Gestão de vulnerabilidades
  • LGPD
  • Notícias IBLISS
  • Privacidade
  • RGPD
  • Risk e compliance
  • root
  • Segurança Digital
  • Segurança no E-Commerce
  • Sensibilização
  • Technology
  • Testes de invasão
  • Uncategorized
  • Vagas
  • Vulnerabilidades

Contato

Av. Angélica, 2582
2° Andar
CEP 01228-200
Bela Vista
São Paulo / SP

contato@ibliss.com.br

+55 (11) 3255 -3926

IBLISS_Parcerias_Certificado-1536x512-1-pm727zz2jah6fbi8ty4ggbgwzzn3clcj1wf0235qf4

Links

  • A IBLISS
  • Nossos Serviços
  • Blog
  • Oportunidades
  • Contato
  • Política de Privacidade

Siga a IBLISS

Linkedin Youtube Facebook Instagram Twitter

Newsletter

© 2022 IBLISS Digital Security. Todos os direitos reservados. Desenvolvido por QMove.