Na conferência de segurança que ocorreu no Canadá, de 07 a 09 de março, mais precisamente no CanSecWest 2012 na qual participaram praticamente todos os fabricantes de Browsers (navegadores de web) e de outros softwares.Google Chrome que no ano passado passou ileso nos testes, desta vez não foi possível. Cinco minutos foi o tempo que durou a segurança do navegador do Google nas mãos dos hackers franceses do VUPEN, durante o evento Pwn2Own 2012.O Google lançou um desafio no valor total de um milhão de dólares para aqueles que conseguissem quebrar a segurança do Chrome e revelassem o truque em um concurso de hacker paralelo ao Pwn2Own, chamado Pwnmium.
O VUPEN é uma empresa formada por hackers especializada em descobrir e vender vulnerabilidades de programas e sistemas para clientes governamentais.
VUPEN aceitaram o desafio, violaram a sandbox do navegador, executaram a Calculadora do Windows no PC invadido. Sandbox é um mecanismo de segurança do Chrome que executa arquivos independentes do sistema operacional então para acessar o sistema operacional é necessário sair do sandbox do navegador.
[youtube c8cQ0yU89sk]
O VUPEN se preparou para a tarefa e conseguiu, explorando vulnerabilidades ainda não divulgadas do Windows 7 (SP1) 64-bit e também do navegador. Foi preparada uma página web com o código de armadilha focado nas falhas. No mesmo instante em que a máquina de testes visitou o endereço, a Calculadora abriu. Poderia ter sido instalado um programa malicioso ou ter sido executado um malware.
Apesar da derrota, o Google não vai pagar um centavo para o VUPEN. O grupo resolveu divulgar apenas a falha do Windows 7. A vulnerabilidade do Chrome será mantida em segredo e vendida com exclusividade posteriormente.
A Google anunciou no mês passado que iria promover seu próprio concurso de hacker durante o evento de segurança CanSecWest, porque não concordava com o regulamento do tradicional Pwn2Own, que não exigia que os hackers informassem como realizaram a invasão nos softwares.
Um hacker russo, Sergey Glazunov, conseguiu encontrar uma vulnerabilidade no navegador Google Chrome e ganhou um prêmio de 60 mil dólares, durante o concurso Pwnmium, promovido pela própria empresa paralelo ao Pwn2Own.Não temos informação se foi a mesma vulnerabilidade explorada pela VUPEN.
A Google já está trabalhando na correção dessas vulnerabilidades encontradas. Em breve serão sanadas em uma atualização do navegador.
One response
There are certainly quite a lot of particulars like that to take into consideration. That could be a great level to bring up. I supply the ideas above as general inspiration however clearly there are questions like the one you bring up where a very powerful factor shall be working in trustworthy good faith. I don?t know if greatest practices have emerged round issues like that, however I’m positive that your job is clearly identified as a fair game. Each boys and girls feel the influence of only a second抯 pleasure, for the remainder of their lives.