Letta 2891 volte 3 settembre 2008 alle 19.51 di netquik Fonte: Varie
Google Chrome: Prime Falle di Sicurezza
LINK:
Ad un solo giorno dalla release di Google Chrome, il progetto browser open-source del colosso della ricerca, l'azienda di Mountain View deve affrontare le prime segnalazioni riguardanti falle di sicurezza nel suo nuovo prodotto, che ricordiamo è disponibile in versione Beta.

I ricercatori di sicurezza hanno identificato almeno due falle che potrebbero essere attualmente sfruttate da eventuali attacker per mandare in crash il browser e per condurre attacchi di carpet-bombing contro gli utenti di Windows.

La prima problematica è stata segnalata da Rishi Narang di Evilfingers, che in un articolo sul sito Securiteam ha descritto una tecnica utilizzabile per mandare in crash Google Chrome senza richiedere interazione da parte dell'utente.

xlink Google Chrome Beta Disponibile  -  Google Chrome: il Browser di Google  -  Altre 

"Una problematica si verifica nel modo in cui il chrome si comporta con gestori non definiti nella libreria chrome.dll versione 0.2.149.27. Un crash può verificarsi senza interazione da parte dell'utente. Quando un utente viene spinto a visitare un link nocivo, che include un gestore non definito seguito da un carattere 'speciale', il chrome va in crash con una finestra di messaggio di Google Chrome 'Whoa! Google Chrome has crashed. Restart now?'. Il crash si verifica sul 'int 3' all'indirizzo 0x01002FF3 come una exception/trap, seguita da una istruzione "POP EBP" quando evidenziata dal registro EIP all'indirizzo 0x01002FF4". Dettagli e PoC sono disponibili sul sito di Evilfingers.

La seconda problematica consiste in una vera e propria falla di sicurezza che consente l'esecuzione di attacchi di carpet-bombing contro gli utenti. Il popolare ricercatore Aviv Raff ha scoperto che combinando due diverse vulnerabilità (una falla in WebKit e un bug di Java discusso durante l'ultima conferenza Back Hat) è possibile ingannare gli utenti e lanciare eseguibili direttamente dal nuovo browser.

Raff ha creato un demo innocuo per dimostrare l'attacco in azione, che scarica e lancia un file JAR (Java Archive), senza generare alcun avviso. Bisogna evidenziare che Google Chrome utilizza il motore WebKit versione 525.13 (quello di Safari 3.1), una versione non aggiornata del software che è stata già corretta per impedire il problema di carpet-bombing (Apple ha integrato l'aggiornamento in Safari v3.1.2).

Infine alcuni utenti di Google Chrome che utilizzano Windows Vista hanno segnalato che i file scaricati da Internet con il browser vengono rilasciati automaticamente sul desktop, cosa che apre ad uno scenario sfruttabile tramite un attacco combinato con exploit di una falla di Internet Explorer non ancora corretta da Microsoft.
 non ci sono commenti alla news nel forum
username:   password:
oppure con Log in with FacebookLog In with Google
   ricordami
non fai parte della community?
 Esegui l'accesso per commentare questa notizia nel forum 
 
DUST FROM THE PAST
Ad un solo giorno dalla release di Google Chrome, il progetto browser open-source del colosso della ricerca, l'azienda di Mountain View deve affrontare le prime segnalazioni riguardanti falle di sicur… 3 settembre 2008
Durante il weekend è stata segnalata una nuova vulnerabilità di sicurezza che affligge il nuovo browser di Google, Google Chrome, rilasciato pochi giorni fa in versione Beta. L'azienda di sicurezza vi… 7 settembre 2008
Google ha reso disponibili i dettagli sulle novità introdotte nella nuova versione v0.2.149.29 di Google Chrome Beta, il suo nuovo browser, rilasciata due giorni fa tramite la funzione di aggiornament… 9 settembre 2008
ULTIME NEWS - GOOGLE
Google ha reso disponibile la una nuova versione Beta (2.0.172.27) del suo browser Google Chrome per gli utenti registrati al canale di release "Beta". Ricordiamo che tutti gli utenti possono sceglier…15 maggio 2009
Google ha annunciato due novità per i suoi popolari servizi web, Gmail e Google Calendar: il supporto per l'importazione di contatti e messaggi di posta da altri provider per Gmail ed l'integrazione d…14 maggio 2009
Google ha reso disponibile la nuova versione 2.0.180.0 del suo browser Google Chrome per gli utenti registrati al canale di release "Dev Channel". La nuova versione di test 2.0.180.0 include una seri…13 maggio 2009
 ONLINE
OSPITI 4
UTENTI 0
VISITE OGGI
16
 VISITE TOTALI
5.763.001
login
username:
password:
oppure con Log in with FacebookLog In with Google
ricordami
Non fai parte della community?
Creative Commons License Valid CSS!Valid HTML 4.01 Transitional
 
NEWS - TRUCCHI - DOWNLOAD - ARTICOLI - SITO - DISCLAIMER
X