Blog SegInfo - Segurança da Informação - Tecnologia - Notícias, Artigos e Novidades » chrome

Google corrige 19 vulnerabilidades do Chrome antes do evento Pwn2Own

Arlindo Pereira — Wed, 02 Mar 2011 11:00:17 +0000

Como no ano anterior, o Google aprimorou a segurança de seu navegador uma semana antes da Pwn2Own, a disputa anual de especialistas em segurança que acontece durante a conferência CanSecWest, em Vancouver, Canadá.

A atualização 9.0.597.107 corrigiu 16 falhas de “alta relevância”, o segundo grau mais importante no sistema de tratamento de falhas do Google. Foram corrigidas também três de “média relevância”.

As falhas foram encontradas em diversos componentes do Chrome, em especial a API WebGL, o renderizador SVG e a barra de endereço.

Nove especialistas em segurança receberam um total de 14 mil dólares por reportarem as falhas.

Via: Google Patches 19 Chrome Bugs Week Before Pwn2Own Hacking Contest

Posts Relacionados

Vulnerabilidade 0-day no Adobe Reader, Acrobat e Flash Player

Usando botnets para escanear tráfego SIP

Vulnerabilidade no PGP Desktop 10

Rootkit TDL4 passa a usar 0-day utilizado pelo Stuxnet

Nova extensão do Google Chrome bloqueia sites de spam do resultado das buscas

Arlindo Pereira — Tue, 15 Feb 2011 11:54:21 +0000

A Google liberou uma versão experimental de extensão para o navegador Google Chrome que permite bloquear sites do resultado das buscas. A extensão utiliza um algoritmo para detectar content farms, técnica utilizada por redes de sites de spammers para levar usuários de sites de busca à suas páginas. Quando instalada, a extensão também envia informações sobre os sites bloqueados para o Google, com o objetivo de estudar os resultados e melhorar o sistema de ranking dos sites. No momento, a extensão é destinada a usuários com um maior conhecimento técnico. Veja mais detalhes em Official Google Blog: New Chrome extension: block sites from Google’s web search results.

Posts Relacionados

ISACA e EC-Council assinam acordo para avanço na profissão de Segurança da Informação

Tuesday patch de outubro da Microsoft trará correções para 49 vulnerabilidades

Casa Branca estudando a economia da cibersegurança

O código-fonte do Stuxnet está disponível online

Chromium e Google Chrome 9.0.597.84 com 9 correções de segurança

Arlindo Pereira — Mon, 07 Feb 2011 09:25:18 +0000

As equipes do Google Chrome e do Chromium (versão opensource do navegador) lançaram a versão 9.0.597.84 com 9 correções de segurança, sendo 1 crítica, 2 de alta e as outras 6 de baixa relevância. Os pesquisadores que descobriram os 2 bugs de alta importância ganharam mil dólares cada, valor oferecido pelo programa de recompensas do Google.

Além das correções de segurança, a nova versão do navegador traz 3 novidades: WebGL, que permite experiências de navegação 3D, o Chrome Instant, recurso que faz o pré-carregamento das páginas antes que o usuário termine de digitar a URL, e a Chrome Web Store, por enquanto disponível apenas para usuários nos Estados Unidos. A nova versão está disponível para todas as plataformas (Linux, Mac e Windows) e pode ser instalada usando a opção Upgrade ou transferida diretamente do site.

Veja mais detalhes sobre as novidades do Chrome/Chromium em Google Chrome Blog: A dash of speed, 3D and apps e mais detalhes sobre as correções de segurança em Google Chrome Releases: Stable Channel Update.

Posts Relacionados

Participação do colunista Rafael Soares Ferreira no podcast StaySafe Podcast

Descuidos com privacidade e segurança na onda das redes sociais e dispositivos móveis

Separação de poderes e responsabilidade na administração de servidores virtualizados

Alerta do ISC sobre vulnerabilidade no DNS BIND

Google também libera extensão para Chrome com funcionalidade Do Not Track

Arlindo Pereira — Wed, 26 Jan 2011 10:40:17 +0000

No mesmo dia em que a Mozilla anunciou implementar no Firefox uma funcionalidade para bloquear o rastreamento do usuário através de anúncios, a equipe do Google disponibilizou uma extensão para o Chrome com um funcionamento semelhante. A extensão Keep My Opt-Outs mantém os cookies de opt-out de serviços que suportam este protocolo, informando às redes de publicidade que você não deseja ser registrado. Veja mais detalhes em Google Public Policy Blog: Keep your opt-outs (via)

Posts Relacionados

Lançado OWASP LAPSE+ v.2.8.1

Retrospectiva dos perigos tecnológicos da última década

Microsoft atualiza ferramentas gratuitas de segurança

Quase metade dos internautas brasileiros tem dificuldade de distinguir spams de emails autênticos

Adobe introduz recurso no Flash Player para prevenir rastreamento do usuário, aumentando a privacidade

Arlindo Pereira — Fri, 14 Jan 2011 11:20:01 +0000

A Adobe introduziu na última versão do Flash Player um recurso para prevenir o rastreamento do usuário, aumentando a sua privacidade. O novo recurso, trabalhado em conjunto com 2 fabricantes de browser (Mozilla e Google), permite gerenciar os Local Shared Objects (LSO) através do próprio navegador. Os LSOs são objetos gerenciados pelo Flash, e podem ser usados por diversos propósitos; no caso mais relevante para segurança da informação, eles são usados como cookies.

A colaboração entre a Adobe e a Mozilla e o Google resultou na criação de uma API para limpar dados locais, que poderá ser utilizada por qualquer plugin que a implemente. Sendo assim, na nova versão do Flash, ao limpar os cookies no Firefox e no Chrome, os LSOs do Flash também serão excluídos, o que evita que sites façam rastreamento de visitantes indefinidamente.

Veja mais detalhes em Adobe changes Flash Player feature to prevent user tracking.

Posts Relacionados

Podcast "Aplicações Web: as tendências e os problemas de segurança", em inglês

Governo do Estado de São Paulo corrige falhas de segurança no programa Nota Fiscal Paulista

Alerta crítico de bug no novo PHP 5.3.7

No Windows - Explicando o funcionamento de vulnerabilidades de DLL hijacking

Google corrige 16 vulnerabilidades no Chrome OS e paga recompensa recorde a pesquisador de segurança

Arlindo Pereira — Fri, 14 Jan 2011 10:30:41 +0000

A Google corrigiu 16 vulnerabilidades no Chrome OS nesta quinta (13/01) e pagou a a quantia recorde de $3.133,70 a um único pesquisador de segurança, Sergey Glazunov. No total, foram mais de 14 mil dólares em recompensas para Glazunov e outros pesquisadores de segurança por seu trabalho.

O Chrome OS 8.0.522.334 trouxe correções em diversos componentes, incluindo a parte de suporte a extensões, o visualizador de PDF nativo, e o renderizador de folhas de estilo em cascata (CSS). Fora um total de 16 vulnerabilidades fechadas, sendo uma crítica, 13 de alta e 2 de média relevância.

Veja mais detalhes sobre a nova versão, as vulnerabilidades corrigidas e os valores pagos em Google Chrome Releases: Chrome Stable Release (via).

Posts Relacionados

Polícia Federal e Serpro integram sistemas de Passaportes e Impressões Digitais

40 aplicações Windows contém bug crítico, afirma pesquisador

Lançado Metasploit Framework 3.5.1

O problema dos ataques de negação de serviço: houve progresso?

Pesquisador anuncia vulnerabilidade que atinge todos os browsers e especialmente o IE8

Arlindo Pereira — Fri, 07 Jan 2011 11:26:42 +0000

O pesquisador de segurança Michal Zalewski anunciou uma ferramenta chamada cross_fuzz – um “DOM binding fuzzer” que explora uma vulnerabilidade que, segundo ele, está “presente em todos os browsers do mercado”. A ferramenta faz o navegador travar, podendo ser utilizada por usuários maliciosos para causar uma condição de negação de serviço (DoS). Michal acredita ainda que outros pesquisadores podem ter descoberto a técnica independentemente e estarem utilizando-a como um 0-day.

Todos os browsers são afetados (Internet Explorer, Mozilla Firefox, browsers WebKit (Chrome, Safari e afins) e Opera). Especificamente no caso do Internet Explorer 8, existe a suspeita de que a técnica esteja sendo usada também para disparar a execução de código arbitrário. Veja mais informações sobre o cross_fuzz em lcamtuf’s blog: Announcing cross_fuz, a potential 0-day in circulation, and more e sobre a vulnerabilidade do Internet Explorer em US-CERT Vulnerability Note VU#427980.

Posts Relacionados

Ataques recentes demonstram fragilidades conhecidas dos Certificados Digitais

Atualização do WordPress - versão 3.1.4

California aprova lei contra perfil falso em redes sociais

Palestra sobre testes de segurança em aplicações web

Google Chrome 8.0.552.224 corrige 5 vulnerabilidades de segurança – pesquisadores externos são remunerados

Arlindo Pereira — Wed, 15 Dec 2010 11:38:05 +0000

A equipe do Google divulgou anteontem (13/12) uma atualização para o Chrome, lançando a versão 8.0.552.224 corrigindo 5 vulnerabilidades de segurança, sendo 2 de alta importância (uma delas, afetando apenas Linux 64-bit), duas médias e a restante baixa, pagando um total de 2 mil dólares aos pesquisadores que as descobriram. O Chrome OS também foi atualizado para a versão 8.0.552.343. Veja mais detalhes sobre as correções em Google Chrome Releases: Stable, Beta Channel Updates.

Posts Relacionados

Firefox 4, 3.6 e 3.5 atualizados para bloquear certificados fraudulentos

Vulnerabilidade no access point Linksys WAP610N: console root sem autenticação

Google Chrome tem atualização de segurança

Pesquisadores apresentam prova de conceito de malware em placas de vídeo

Google e Adobe criam sandbox no Chrome para o Flash

Arlindo Pereira — Fri, 03 Dec 2010 14:37:51 +0000

A Adobe e a Google colaboraram para criar uma sandbox (“caixa de areia”) para o Flash rodar no Chrome. O objetivo é proteger melhor os usuários de ataques maliciosos, restringindo a habilidade de código malicioso comprometer recursos sensíveis do sistema, permitindo apenas o uso dos menos sensíveis. A opção já está disponível na versão “dev” do Chrome – disponível apenas para Windows – e deve aparecer nas versões finais dentro de alguns meses. Veja mais detalhes em Google, Adobe sandbox Flash for Chrome to protect users – Computerworld.

Posts Relacionados

Aberta a chamada de palestrantes da 23ª Conferência Anual do FIRST - Forum de Resposta a Incidentes e Times de Segurança

Microsoft avisa: atualização de segurança de fevereiro corrigirá 12 vulnerabilidades

Top 10 das botnets em 2010

Google lança ferramenta de monitoramento de rede para provedores e administradores de rede

Microsoft corrige ferramenta de segurança após Google reportar problemas com o Chrome

Arlindo Pereira — Mon, 22 Nov 2010 11:01:33 +0000

Na última quarta-feira (17/11) a Microsoft atualizou o Enhanced Mitigation Experience Toolkit (EMET). O EMET é uma ferramenta projetada para TI empresarial- esta permite que os usuários ativem manualmente defesas anti-exploit do Windows como o DEP (data execution prevention) e o ASLR (address space layout randomization) para programas específicos. Segundo a empresa, o EMET “pode ter potenciais problemas com a funcionalidade de atualização” do Google Chrome e do Adobe Reader/Acrobat.

A Google notou o problema na terça, publicando um post detalhando o problema, e a Microsoft corrigiu no dia seguinte, publicando o EMET 2.0.0.3. Visite o site da Microsoft para baixá-lo. Mais detalhes sobre a questão em Microsoft Fixes Security Tool After Google Reports Chrome Problems – CIO.com.

Foto: at risk.

Posts Relacionados

Firmware de baterias da Apple: vulnerabilidade virtual, risco real

Lançados Wireshark 1.2.10, 1.0.15 e 1.4.0rc2

Entrevista Palestrantes SegInfo - Mariano Sumrell Miranda

A pedido do governo dos Estados Unidos, Amazon suspende acesso ao conteúdo do WikiLeaks