Após 3 anos, barreira “sandbox” do Chrome é quebrada

9 de maio de 2011 Editar

Desde o lançamento do navegador Chrome, um dos seus principais recursos era a Sandbox , uma barreira que isolava os sites, impedindo-os de a... (por Sérgio Estrella em 9 de maio de 2011, via Googleverse)

Desde o lançamento do navegador Chrome, um dos seus principais recursos era a Sandbox, uma barreira que isolava os sites, impedindo-os de acessar qualquer componentes do computador ou sistema operacional. O navegador foi o único que sobreviveu à 3 anos do concurso Pwn2Own, voltado à segurança e que tem como objetivo explorar as falhas dos navegadores e sistemas operacionais, para conseguir o controle das maquinas. Mas finalmente o momento tão (in)esperado chegou: a empresa de segurança Vupen anunciou que conseguiu quebrar a famosa proteção Sandbox do browser.

No vídeo acima, a empresa demonstra a falha sendo explorada. Segundo ela, trata-se de um dos códigos mais sofisticados que eles já criaram desde sua fundação, e consiste em diversas ações que forçam o navegador a baixar e executar um arquivo determinado, fora da Sandbox. O exploit também é capaz de superar as defesas do Windows 7, como a ASLR (address space layout randomization) e DEP (data execution prevention). O mesmo problema dificilmente poderá ser explorado no Chrome OS, uma vez que o sistema é baseado em UNIX e não será capaz de instalar ou executar aplicações externas.

A Vupen não vai disponibilizar publicamente o código da vulnerabilidade, o que deve dar tempo à Google de corrigir o problema.

Comentários

1
Google+
Facebook


Um comentário:

  1. O Pwn2Own é uma das idéias mais bem boladas que já existiu.
    E, convenhamos, não há código que não possa ser quebrado, o que se pode fazer é aumentar a dificuldade. E para passar 3 anos sem ninguém quebrar, dá pra ter idéia de como foi difícil.

    Parabéns a Vupen, ao Chrome, e a todos nós usuários que sabemos que o nosso navegador vai continuar sendo o mais seguro.

    ResponderExcluir