Chrome segurança foi quebrada

Chrome segurança quebrada Na conferência de segurança que ocorreu no Canadá, de 07 a 09 de março, mais precisamente no CanSecWest 2012 na qual participaram praticamente todos os fabricantes de Browsers  (navegadores de web) e de outros softwares.Google Chrome que no ano passado passou ileso nos testes, desta vez não foi possível. Cinco minutos foi o tempo que durou a segurança do navegador do Google nas mãos dos hackers franceses do VUPEN, durante o evento Pwn2Own 2012.O Google lançou um desafio no valor total de um milhão de dólares para aqueles que conseguissem quebrar a segurança do Chrome e revelassem o truque em um concurso de hacker paralelo ao Pwn2Own, chamado Pwnmium.

O VUPEN é uma empresa formada por hackers especializada em descobrir e vender vulnerabilidades de programas e sistemas para clientes governamentais.

VUPEN aceitaram o desafio, violaram a sandbox do navegador, executaram a Calculadora do Windows no PC invadido. Sandbox é um mecanismo de segurança  do Chrome que executa arquivos independentes do sistema operacional então para acessar o sistema operacional é necessário sair do sandbox  do navegador.

O VUPEN se preparou para a tarefa e conseguiu, explorando vulnerabilidades ainda não divulgadas do Windows 7 (SP1) 64-bit e também do navegador. Foi preparada uma página web com o código de armadilha focado nas falhas. No mesmo instante em que a máquina de testes visitou o endereço, a Calculadora abriu. Poderia ter sido instalado um programa malicioso ou ter sido executado um malware.

Apesar da derrota, o Google não vai pagar um centavo para o VUPEN. O grupo resolveu divulgar apenas a falha do Windows 7. A vulnerabilidade do Chrome será mantida em segredo e vendida com exclusividade posteriormente.

A Google anunciou no mês passado que iria promover seu próprio concurso de hacker durante o evento de segurança CanSecWest,  porque não concordava com o regulamento do tradicional Pwn2Own, que não exigia que os hackers informassem como realizaram a invasão nos softwares.

Um hacker russo, Sergey Glazunov, conseguiu encontrar uma vulnerabilidade no navegador Google Chrome e ganhou um prêmio de 60 mil dólares, durante o concurso Pwnmium, promovido pela própria empresa paralelo ao Pwn2Own.Não temos informação se foi a mesma vulnerabilidade explorada pela VUPEN.

A Google já está trabalhando na correção dessas vulnerabilidades encontradas. Em breve serão sanadas em uma atualização do navegador.

You can leave a response, or trackback from your own site.

Leave a Reply

*