Pwn2Own 2012: Chrome cade in cinque minuti

Pwn2Own 2012: Chrome cade in cinque minuti

Il Pwn2Own 2012 è iniziato, e per Chrome le cose non sono andate come Google avrebbe probabilmente voluto per il proprio browser: sono infatti bastati al Team Vupen appena cinque minuti dall’inizio del contest per trovare una falla nell’applicazione, ponendo così fine a una lunga imbattibilità nelle edizioni precedenti di Chrome rispetto ai concorrenti.

Forte della sicurezza del proprio browser, la stessa Google aveva di recente fissato premi per un totale di 1 milione di dollari: di tale cifra, al Team Vupen dovrebbero spettare 60.000$, più 32 punti nella gara ancora in atto.

I dettagli del buco nella sicurezza di Chrome non sono stati ancora resi pubblici, ma a quanto pare il team sarebbe riuscito a trovare un modo per uscire dalla sandbox di Google per eseguire codice esterno: da qui il premio più alto tra quelli offerti dall’azienda di Mountain View, destinato appunto a chi sarebbe riuscito a bucare il browser sfruttando esclusivamente bug interni a esso. Come condizione del pagamento, Google dovrà ricevere i dettagli della vulnerabilità da parte del team scopritore.

Via | Electronista.com

Pwn2Own 2012: Chrome cade in cinque minuti é stato pubblicato su Downloadblog.it

Un attacco prende di mira le sandbox di Flash Player


Il Flash Player di Adobe fa uso di una serie di ‘sandbox‘ che impongono restrizioni sul codice che viene eseguito a seconda della sua origine. Ai file SWF memorizzati in locale, ad esempio, vengono attribuiti permessi meno stringenti e sono autorizzati ad accedere a file memorizzati sul sistema. Gli stessi file in formato Flash, tuttavia, non possono accedere alla rete: una creatività Flash ‘maligna’, quindi, non dovrebbe essere capace di inviare trasmettere dati, raccolti sul personal computer dell’utente, verso un server remoto.

Billy Rios, ricercatore esperto di sicurezza informatica, ha verificato come il controllo degli accessi alla rete venga effettuato utilizzando una ‘lista nera’ contenente i protocolli il cui utilizzo deve essere negato. Rios ha spiegato che utilizzando il ‘protocol handler‘ file: è possibile trasmettere altrove il contenuto di un file limitatamente però a macchine collegate alla medesima rete locale.
Continua a leggere su http://www.ilsoftware.it/news.asp?ID=6920

Adobe Reader X si difende utilizzando una ‘sandbox’


Adobe ha annunciato da poche ore il rilascio della versione definitiva di Reader X, la nuova versione del programma che consente di aprire e gestire documenti in formato PDF. Tre aspetti campeggiano sul biglietto da visita col quale si presenta la decima versione di Adobe Reader: lettura dei file PDF, migliore collaborazione e sicurezza.

Sono le innovazioni relative all’aspetto della sicurezza a fare la parte del leone in Reader X: la nuova release del prodotto, infatti, fa uso di un meccanismo di ‘sandboxing‘ per proteggere il sistema da eventuali codici nocivi che dovessero essere presenti all’interno di documenti PDF ‘maligni’.

I processi alla base del funzionamento di Reader (ma anche di Acrobat) sono d’ora in poi ‘isolati’ dal resto del sistema impedendo così che eventuali malware, inseriti nei documenti PDF o richiamati da essi, possano causare problemi.

Il nuovo sistema di protezione si chiama ‘Protected Mode‘ e Microsoft stessa ha collaborato alla realizzazione della funzionalità.
Continua a leggere su http://www.ilsoftware.it/news.asp?ID=6777