Geekissimo

Google Chrome hackerato con un sofisticato exploit

 
Francesco Dipo (Dipoweb)
11 Maggio 2011
11 commenti

Nel corso di questi anni, Google Chrome si è guadagnato una reputazione più che soddisfacente per quanto concerne la sicurezza del browser e l’impossibilità di essere attaccato grazie alla sandbox, la zona protetta presente all’interno del browser sviluppato da Google.

Anche nelle manifestazioni annuali di hacking, Pwn2Own, Chrome è sempre sopravvissuto agli attacchi degli esperti di sicurezza presenti alla convention. Neanche di fronte alla proposta di Google di offrire 20.000 dollari per “bucare” Chrome, nessuno ci è riuscito. Questo fino a quando qualcuno…

I ricercatori di sicurezza della società francese VUPEN sono riusciti ad aggirare le protezioni di Google Chrome, compresa la sandbox, con un exploit molto sofisticato.

Prima di aggiungere ulteriori dettagli, nel video qui sotto l’azienda dimostra una vulnerabilità sconosciuta che può essere utilizzata per aggirare tutti i meccanismi di sicurezza presenti nella versione più recente di Chrome (11.0.695.65), se in esecuzione su Windows 7 Service Pack 1 x64. Nella clip, VUPEN visita una pagina web appositamente predisposta con un codice maligno che ospita l’exploit per eludere la sandbox – DEP e ASLR (si tratta di altre caratteristiche di sicurezza). L’exploit eseguirà diversi payload (carichi) per completare il download della calcolatrice da remoto ed avviarla al di fuori della sandbox (a livello di integrità medio).

L’exploit mostrato in questo video è uno dei codici più sofisticati che abbiamo mai visto e realizzato in quanto aggira tutte le caratteristiche di sicurezza compresi ASLR / DEP / Sandbox (e senza sfruttare una vulnerabilità del kernel di Windows), è silenzioso (nessun crash dopo l’esecuzione del payload), funziona su tutti i sistemi Windows (32-bit e x64)“, il commento di VUPEN.

Per motivi di sicurezza, il codice dell’exploit e i dettagli tecnici della vulnerabilità non saranno resi pubblici. Vedremo in quanto tempo gli ingegneri Google risolveranno questo problema e “tapperanno” la falla.

Potrebbe interessarti anche
Articoli Correlati
Google Chrome, introdotta la funzione Utenti supervisionati

Google Chrome, introdotta la funzione Utenti supervisionati

Da qualche giorno a questa parte è disponibile per Google Chrome la nuova ed interessante funzionalità Utenti supervisionati. Trattasi, così come annunciato da Google stessa mediante la pubblicazione di un […]

BoxCryptor, disponibile l’estensione per crittografare i dati in Dropbox e Google Drive da Chrome

BoxCryptor, disponibile l’estensione per crittografare i dati in Dropbox e Google Drive da Chrome

Avere a portata di mano dei validi strumenti grazie ai quali incrementare il grado di sicurezza del proprio computer e dei propri dati onde evitare che eventuali utenti malintenzionati possano […]

PrivacyFix, un’estensione per proteggere la privacy online

PrivacyFix, un’estensione per proteggere la privacy online

Svariate piattaforme social hanno suscitato serie preoccupazioni in fatto di privacy degli utenti che, specie nel corso degli ultimi tempi, hanno dovuto imparare ad impostare personalmente e spesso anche con […]

Utenti Android a rischio: il 99% degli smartphone è vulnerabile agli attacchi

Utenti Android a rischio: il 99% degli smartphone è vulnerabile agli attacchi

Mentre tutti continuano a preoccuparsi della questione LocationGate e del tracciamento degli utenti effettuato da tutti gli smartphone di ultima generazione, arriva un rapporto abbastanza allarmante circa la sicurezza di […]

Parrotfish, ampliare il numero di servizi supportati da Twitter per visualizzare le anteprime dei link

Parrotfish, ampliare il numero di servizi supportati da Twitter per visualizzare le anteprime dei link

Tutti i più assidui utilizzatori di Twitter di certo avranno avuto modo di notare che proprio grazie agli aggiornamenti avvenuti oramai diverso tempo addietro, il noto servizio di microblogging offre […]

Lista Commenti
Aggiungi il tuo commento

Fai Login oppure Iscriviti: è gratis e bastano pochi secondi.

Nome*
E-mail**
Sito Web
* richiesto
** richiesta, ma non sarà pubblicata
Commento

  • #1Stefano

    Ci sono voluti anni e pure un exploit sofisticato, almeno non è stato un hacker. Speriamo che tappino presto la falla.

    11 Mag 2011, 1:35 pm Rispondi|Quota
  • #2LoGnomo

    Come volevasi dimostrare per quelli che dicevano "è inviolabile" devono ricredersi. Ma non solo per Google Chrome, per qualsiasi software. Finchè la tecnologia informatica si basa su sisteami binari niente è inviolabile. Infatti basterebbe ricostruire l' algoritmo sulle generazione dei numeri casuali per mettere in ginocchio l' intera sicurezza informatica mondiale, se ci riuscite ovviamente 😉
    Diverso il discorso quando arriveranno i primi computer quantistici….

    11 Mag 2011, 2:00 pm Rispondi|Quota
    • #3Blog123

      Devo ricordarti quanti anni ci sono voluti prima che qualcuno lo violasse?

      11 Mag 2011, 8:05 pm Rispondi|Quota
      • #4LoGnomo

        Ma chi sta parlando del tempo impiegato? O_O
        Ti consiglio di rileggere per capire meglio quello che ho voluto intendere…

        11 Mag 2011, 9:13 pm Rispondi|Quota
      • #5Raziel

        Un bunker senza cibo, anche se inviolabile non mi serve a niente.
        Chrome ha ancora molti difetti che i test Acid3 non rilevano.

        11 Mag 2011, 9:34 pm Rispondi|Quota
  • #6Davide

    "ricostruire l' algoritmo sulle generazione dei numeri casuali per mettere in ginocchio l' intera sicurezza informatica mondiale, se ci riuscite ovviamente 😉 "

    Spero sia un commento ironico, lo spero seriamente. Gli algoritmi per la generazione dei numeri pseudo-casuali è semplicissimo e non ci vuole un granché per capire come funzioni.

    11 Mag 2011, 2:55 pm Rispondi|Quota
    • #7LoGnomo

      Scusa ho sbagliato, gli algoritmi di crittografia volevo dire. E comunque non è semplice quello dei numeri pseudo-casuali. Addirittura semplicissimo? Non esageriamo, è complesso anche quello.

      11 Mag 2011, 3:28 pm Rispondi|Quota
      • #8Stoned

        Guarda che la maggior parte degli algoritmi di crittografia esistenti (almeno quelli seri, tipo quelli usati dagli enti di sicurezza nazionale) sono "aperti", ovvero l'algoritmo può essere letto e analizzato da chiunque: è una delle cose fondamentali per garantire la sicurezza dell'algoritmo (ovvero che non ci siano falle o che il suo creatore non abbia qualche "trucco" per violarlo)! La "sicurezza tramite segretezza" lasciamola a chi i sistemi sicuri non li sa fare 😉

        12 Mag 2011, 11:28 am Rispondi|Quota
  • #9Raziel

    Sarà pure privo di falle (tranne questa ovviamente) ma ho fatto delle prove personali su Chrome e FF tipo quelle Acid3. Ebbene Chrome va in pappa, Firefox regge.
    Personalmente, W Firefox

    11 Mag 2011, 3:49 pm Rispondi|Quota
  • #10zemaniac

    Casualmente l’exploit funziona su “tutti i sistemi windows”

    11 Mag 2011, 11:25 pm Rispondi|Quota
  • #11nino

    siete degli idioti, cosa c'entrano gli acid test con la sicurezza?

    29 Giu 2011, 4:54 am Rispondi|Quota