terça-feira, 10 de maio de 2011

Empresa sabe como invadir Chrome, mas só divulgará código a clientes

Companhia descobriu como superar as ferramentas de segurança do browser e do Windows 7, mas só vai abrir o segredo a quem pagar por ele.

A companhia de segurança Vupen confirmou na segunda-feira (9/5) que encontrou um modo de invadir o Chrome, contornando não só a caixa de areia do navegador, mas vencendo, também, as ferramentas de segurança do Windows 7.
“O ataque é um o mais sofisticado que já criamos, e é capaz de transpor todos os recursos de proteção, incluindo a caixa de areia, o ASLR e o DEP”, comunicou a empresa em seu blog oficial. “É uma invasão silenciosa – não é notada mesmo depois de contaminar a máquina – e explora falhas ainda não corrigidas – zero-day. Todas as versões do Windows estão vulneráveis ela”.
No YouTube, há uma demonstração da ofensiva.
De acordo com a Vupen, o problema pode ser explorado por sites maliciosos. Ao entrar em um desses portais, a praga “executa várias ações para, ao fim, baixar o aplicativo da calculadora remotamente e jogá-lo para fora da caixa de areia”. A calculadora é só um exemplo. No caso, ela seria substituída por um programa que daria início ao ataque.
Desde o seu lançamento, o Chrome é consideradoum dos browsers mais difíceis de derrubar, justamente por seu recurso que o isola do resto da máquina. Ou seja, mesmo quando contaminado, o hacker não conseguiria espalhar a praga pelo computador.
O software da Google, por exemplo, sobreviveu às últimas três edições do evento hacker Pwn2Own.
A Vupen afirmou que não publicará detalhes sobre a vulnerabilidade ou sobre como ela foi explorada. “O código e os detalhes técnicos serão compartilhado com nossos clientes, como parte dos serviços que prestamos”.
A postura da empresa – por mais controversa que seja – foi anunciada ano passado. Na época, disse que não mais reportaria as falhas ao desenvolvedores, mas, me vez disso, só as comunicaria aos usuários que pagam por suas pesquisas

Nenhum comentário: