9 de março de 2012

Google Chrome.
Imagem: Sergio Andrés Melo/Wikimedia Commons.
Email Facebook Twitter WhatsApp Telegram

 

No mundo da tecnologia concurso Pwn2Own, um dos participantes da companhia VUPEN pôde hackear o navegador que a muitos meios de comunicações o consideravam seguro, Google Chrome. O evento que reúne a qualquer concursante disposto a atacar, utilizou código fonte de uma página web externa para controlar, pela primeira vez na participação pública, do dito programa.

Segundo comentários de vários meios de comunicações, demorou-se pouco menos de cinco minutos para detectar a vulnerabilidade usando um computador atualizado com o sistema operacional Windows 7. O russo Sergei Glazunov, responsável pelo evento, atacacou diretamente o programa em duas ocasiões: os sistemas de proteção DEP e ASLR usados no mecanismo e o segundo sandbox do navegador, que com ela se pôde aproveitar do plugin Flash Adobe, que é mais vulnerável. Estes permitiram, que qualquer outra aplicação poderia se executar sem o consentimento do usuário.

A "caixa de arena" do Chrome é a mais segura lá fora. Não é uma tarefa fácil criar uma exploit completa que passe todas as proteções. Ainda assim, queríamos mostrar que Chrome não é inquebrável. No ano passado, vimos uma quantidade de titulares indicando que o Chrome não poderia [ser] hackear[do]. Queríamos assegurar-nos que o Chrome seria o primeiro a cair este ano.

Nota publicada no ALT1040.

Depois disso, o Google reparou o problema, fazendo um patch ("remendo", em inglês) de segurança em menos de 24 horas, cuja descrição simplesmente era um “dano tipo XSS mediante uma má navegação do histórico”. Também desde início ofereceu, de maneira independentemente, um milhão de dólares a qualquer um que podesse se fazer com ele. De qualquer maneira, Justin Schuh, um dos encarregados do projeto de segurança da grande G, disse despectivamente através de sua conta no Twitter que “Traz o Flash ao jogo e nada tem uma oportunidade” e que “já sabem o tipo bug que será”.

Fontes