Google Chrome: Prime Falle di Sicurezza





Gmail Labs: Traduzione Messaggio Flock 2.5: Facebook Chat /FlockCast SA971492: Falla in Microsoft IIS Firefox 3.5: Concept Nuova Icona Office 2010 Trapelato in Rete Google Chrome Beta 2.0.172.27 Windows 7: Supporto Nativo VHD Google: Novità in Gmail e Calendar Windows 7: "Box Shots" e Logo "7"	Firefox 2: Trucchi Schede/Tab II Firefox 2: Trucchi Schede/Tab Firefox 2: Aggiungere Lettore Feed [SP2] Connessioni Max TCP VII [IE7] Tutti i Tasti di Scelta Rapida [Vista] Disabilitare UAP [Vista] Aero UI Reg Tweaks Quake 4 - Cheats Trucchi Comandi [IE7] Beta 1 EN-US su XP ITA	Baku 3.7.3437 Google Chrome 2.0.172.28 Google Chrome 2.0.172.30 Beta VLC Media Player 1.0.0 RC2 Java JRE SE 6.0 Update 14 CCleaner v2.20.920 µtorrent 1.8.3 Beta 15562 FeedDemon 3.0.0.22 RC1 FlashGot 1.1.9


Letta 1903 volte		3 settembre 2008 alle 19.51 di netquik	Fonte: Varie
Google Chrome: Prime Falle di Sicurezza

LINK:	Report @ Evilfingers Report @ Zero Day blog Google Chrome

Ad un solo giorno dalla release di Google Chrome, il progetto browser open-source del colosso della ricerca, l'azienda di Mountain View deve affrontare le prime segnalazioni riguardanti falle di sicurezza nel suo nuovo prodotto, che ricordiamo è disponibile in versione Beta. I ricercatori di sicurezza hanno identificato almeno due falle che potrebbero essere attualmente sfruttate da eventuali attacker per mandare in crash il browser e per condurre attacchi di carpet-bombing contro gli utenti di Windows. La prima problematica è stata segnalata da Rishi Narang di Evilfingers, che in un articolo sul sito Securiteam ha descritto una tecnica utilizzabile per mandare in crash Google Chrome senza richiedere interazione da parte dell'utente. Google Chrome Beta Disponibile - Google Chrome: il Browser di Google - Altre "Una problematica si verifica nel modo in cui il chrome si comporta con gestori non definiti nella libreria chrome.dll versione 0.2.149.27. Un crash può verificarsi senza interazione da parte dell'utente. Quando un utente viene spinto a visitare un link nocivo, che include un gestore non definito seguito da un carattere 'speciale', il chrome va in crash con una finestra di messaggio di Google Chrome 'Whoa! Google Chrome has crashed. Restart now?'. Il crash si verifica sul 'int 3' all'indirizzo 0x01002FF3 come una exception/trap, seguita da una istruzione "POP EBP" quando evidenziata dal registro EIP all'indirizzo 0x01002FF4". Dettagli e PoC sono disponibili sul sito di Evilfingers. La seconda problematica consiste in una vera e propria falla di sicurezza che consente l'esecuzione di attacchi di carpet-bombing contro gli utenti. Il popolare ricercatore Aviv Raff ha scoperto che combinando due diverse vulnerabilità (una falla in WebKit e un bug di Java discusso durante l'ultima conferenza Back Hat) è possibile ingannare gli utenti e lanciare eseguibili direttamente dal nuovo browser. Raff ha creato un demo innocuo per dimostrare l'attacco in azione, che scarica e lancia un file JAR (Java Archive), senza generare alcun avviso. Bisogna evidenziare che Google Chrome utilizza il motore WebKit versione 525.13 (quello di Safari 3.1), una versione non aggiornata del software che è stata già corretta per impedire il problema di carpet-bombing (Apple ha integrato l'aggiornamento in Safari v3.1.2). Infine alcuni utenti di Google Chrome che utilizzano Windows Vista hanno segnalato che i file scaricati da Internet con il browser vengono rilasciati automaticamente sul desktop, cosa che apre ad uno scenario sfruttabile tramite un attacco combinato con exploit di una falla di Internet Explorer non ancora corretta da Microsoft.

non ci sono commenti