• Registrarse
  • Iniciar sesión


  • Página 1 de 3 123 ÚltimoÚltimo
    Resultados 1 al 10 de 21

    Google Chrome: ¡Primeras vulnerabilidades!

    Se han detectado las primeras vulnerabilidaes del navegador Google Chrome a las horas de haberse liberado. La primera vulnerabilidad surge al intentar acceder a la siguiente página web: Código: http://evilfingers.com/advisory/google_chrome_poc.php Copien la dirección en Google ...

          
    1. #1
      Usuario Avatar de 123enter
      Registrado
      ene 2006
      Ubicación
      Peru
      Mensajes
      2.041

      Google Chrome: ¡Primeras vulnerabilidades!

      Se han detectado las primeras vulnerabilidaes del navegador Google Chrome a las horas de haberse liberado.

      La primera vulnerabilidad surge al intentar acceder a la siguiente página web:

      Código:
      http://evilfingers.com/advisory/google_chrome_poc.php
      Copien la dirección en Google Chrome con más de una pestaña abierta y verán todo el navegador se cuelga, incluso cuando por su diseño sus creadores había prometido que cada pestaña tendría un proceso distinto. Esta es una prueba, por tanto, en mi caso sólo funcionó la primera vez que la utilicé, pero tampoco se trata de un intento serio de bajarse el navegador, es una prueba para demostrar que la separación de procesos no evita que se pueda tumbar todo el navegador.



      La segunda vulnerabilidad es un poco más grave porque muestra, otra vez como prueba, que se pueden descargar archivos a nuestra PC sin nuestro consentimiento:

      Código:
      http://blogs.zdnet.com/security/?p=1843
      Otra vez copien esta dirección en Chrome y verán como resultado que aparece una pantalla de descarga en la parte inferior izquierda del navegador. Como es una prueba es visible pero si alguien quisiera que ejecutarás software malicioso podría hacerlo sin que te dieras cuenta. La razón es que Chrome está usando un motor anticuado de Webkit que hace tiempo tuvo un problema similar en Safari. El porqué no resolvieron este problema conocido antes de lanzar Chrome es un misterio.




      La tercera vulnerabilidad esta relaciona otra vez con la peligrosa posibilidad de que descarguen archivos de manera arbitraria en nuestra PC sin nuestro consentimiento, existe un exploit como prueba de concepto. Lo inquietante es que si bien se puede probar el autor advierte que será nuestro propio riesgo

      Chrome parece ser un navegador muy agradable y ligero, pero está lejos de ser tan seguro como anuncia Google. Toma prestadas varias características inseguras de otros navegadores y tiene sus propios fallos de diseño".

      Aviv Raff
      Siendo consecuente con mi manera de pensar considero oportuno y necesario publicar estas vulnerabilidades que están apareciendo en el nuevo navegador Chrome con la intención de sensibilizar a los lectores y usuarios de este foro acerca de los riesgos que implica tomar como navegador predeterminado un producto que todavía está en fase de beta.

      Tanto Firefox y Opera tienen sus propias batallas que librar en el tema de la seguridad pero son productos mucho más potentes ya que tienen tiempo en este negocio. Estoy seguro que Google solucionará estas vulnerabilidades pero de momento hay que irse con cuidado con Chrome.

      Saludos.


      Fuente
      Fuente2
      Fuente 3
      Fuente 4 (inglés)

      Editado: He escrito un breve comentario tras la salida de la primera actualización del navegador y la respuesta de Google a estos problemas.
      Última edición por 123enter fecha: 08/09/08 a las 18:35:59

    2. #2
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Google Chrome: ¡Primeras vulnerabilidades!

      Hola 123enter,

      Yo pienso que por un lado es normal que a este se le estén encontrando fallas o vulnerabilidades debido a que por un lado no podemos olvidarnos que se trata de una versión en fase de pruebas, ósea BETA y por otro Google lo lanzo con todo agregando incluso la noticia y el link de descarga desde su pagina principal, por lo que yo no se cuanta gente lo habrá descargado, pero te diría que hasta puede haber superado el record de descargas conseguido por Firefox

      Sobre las vulnerabilidad de descarga de archivos ya había comentado algo directamente en el blog y en este otro tema y también hay otro fallo que comento en el blog donde solo basta escribir en la barra de direcciones cualquier palabra seguida de ‘:%‘ (sin comillas) o cliquear en un enlace que lo contenga para que este nos envié una ventana de error y se cierre.

      Google Chrome y su primer vulnerabilidad = "Carpet Bomb".


      En cuanto al error con "Carpet Bomb" este si seria importante que lo corrijan pronto ya que seria fácil para una atacante utilizar algunas técnicas de ingeniería social y terminar infectando nuestro sistema a través del uso del Chrome.

      Tampoco creo que les sea muy difícil poder hacerlo ya que este fue un error viejo en el motor de Safari (Webkit) que Apple ya corrige y que al parecer la gente de Google uso una versión vieja de este motor con esa vulnerabilidad sin corregir.

      Por ahí pienso que hubiera sido mejor esperar un poco mas el lanzamiento haciendo betas privadas antes de lanzarlo a todo el mundo y que estas noticias tomen tanta fuerza, aunque a nivel de marketing la gran "G" siempre sale ganando ya que desde el lunes no se habla de otra cosa en la red que no sea Chrome


      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Usuario Avatar de Matabufalez
      Registrado
      jun 2006
      Ubicación
      Cantabria,España
      Mensajes
      1.857

      Re: Google Chrome: ¡Primeras vulnerabilidades!

      Realmente una de las cosas que me ha defraudado es que no solicite confirmacion de Descargas,muy propenso a malware...Menos mal que es Beta y los de Google supongo que reaccionaran.
      Saludos

    4. #4
      Usuario Avatar de 123enter
      Registrado
      ene 2006
      Ubicación
      Peru
      Mensajes
      2.041

      Re: Google Chrome: ¡Primeras vulnerabilidades!

      Hola, amigos,

      Olvidé mencionar que la primera "vulnerabilidad" no me parece tanto así, más bien creo que es un error. Lo que se intenta demostrar es que la separación de procesos no es infalible para evitar un cuelgue general del navegador, una de las características resaltadas durante su presentación y que por cierto, según leí tampoco es nueva porque el IE8 beta ya la tenía incorporada.

      Otro detalle es que en el último enlace que pongo, y que se titula en inglés algo así como "Google Mula" haciendo referencia a que Chrome (la mula) es un cruce entre Firefox (caballo) y Safari (burro). Primero porque los propios chicos de Google reconocen que el código usado para Chrome procede de Mozilla



      Por otro lado de Safari toman el motor Webkit y como usaron una versión anticuada pues heredaron el error que se menciona arriba.

      Estoy de acuerdo con que debemos ser comprensivos y tolerantes a pesar de estas pequeñas decepciones, lo único que pido es que seamos consecuentes y apliquemos este criterio para todos los productos beta y para todas las empresas en general.

      Saludos.

    5. #5
      Ex-Colaborador Avatar de axl456
      Registrado
      mar 2007
      Ubicación
      South Park
      Mensajes
      7.132

      Re: Google Chrome: ¡Primeras vulnerabilidades!

      Importante como ya lo has comentado 123enter es que los usuarios del foro y demas navegantes de la red no comiencen a usar como navegador predeterminado a Chrome, hay que recordar que es una beta..
      Ubuntu User #20783
      Linux User Registered #453948

    6. #6
      tav
      tav está offline
      Usuario Avatar de tav
      Registrado
      ene 2006
      Ubicación
      Mexico
      Mensajes
      214

      Re: Google Chrome: ¡Primeras vulnerabilidades!

      hola a mi no me fallo abrio la pagina sin problema me sale esto


      Google Chrome Browser 0.2.149.27
      ---------------------------------------------------
      Software:
      Google Chrome Browser 0.2.149.27

      Tested:
      Windows XP Professional SP3

      Result:
      Google Chrome Crashes with All Tabs

      Problem:
      An issue exists in how chrome behaves with undefined-handlers in chrome.dll version 0.2.149.27. A crash can result without user interaction. When a user is made to visit a malicious link, which has an undefined handler followed by a 'special' character, the chrome crashes with a Google Chrome message window "Whoa! Google Chrome has crashed. Restart now?". It crashes on "int 3" at 0x01002FF3 as an exception/trap, followed by "POP EBP" instruction when pointed out by the EIP register at 0x01002FF4.

      Proof of Concept:
      http://evilfingers.com/advisory/google_chrome_poc.php

      Credit:
      Rishi Narang
      psy.echo [ at ] gmail.com
      www.greyhat.in
      www.evilfingers.com
      ---------------------------------------------------
      PoC Working/Exploit:
      Click for a demo HERE

      xk a mi no m fallo

    7. #7
      Usuario Avatar de 123enter
      Registrado
      ene 2006
      Ubicación
      Peru
      Mensajes
      2.041

      Re: Google Chrome: ¡Primeras vulnerabilidades!

      Cita Originalmente publicado por tav Ver Mensaje
      hola a mi no me fallo abrio la pagina sin problema me sale esto

      ---------------------------------------------------
      PoC Working/Exploit:
      Click for a demo HERE

      xk a mi no m fallo
      ¡Good for you!
      Me parece extraño, porque yo ingresé de nuevo apenas leí tu mensaje y Chrome volvió a caerse. En todo caso si tu interés es bajartelo quizás debas hacer click sobre "demo HERE" (demostración AQUÍ). Aunque no sé si sirva porque nunca me ha dado tiempo para hacerlo.

      Reitero que ésta no es tanto una vulnerabilidad como un bug de programación.

      Saludos.

    8. #8
      Ex-Colaborador Avatar de axl456
      Registrado
      mar 2007
      Ubicación
      South Park
      Mensajes
      7.132

      Re: Google Chrome: ¡Primeras vulnerabilidades!

      Acabo de entrar y si se cierra el navegador

      el "bug" que mas me gusto fue el de escribir en el navegador :% inmediatamente se cierra
      Ubuntu User #20783
      Linux User Registered #453948

    9. #9
      Baneado Avatar de no_malware
      Registrado
      mar 2008
      Ubicación
      En todos lados
      Mensajes
      434

      Re: Google Chrome: ¡Primeras vulnerabilidades!

      Cita Originalmente publicado por axl456 Ver Mensaje
      Acabo de entrar y si se cierra el navegador

      el "bug" que mas me gusto fue el de escribir en el navegador :% inmediatamente se cierra


      Es verdad, aparece esto y se cierra.

      Saludos.

    10. #10
      Usuario Avatar de Wattsa02
      Registrado
      mar 2008
      Ubicación
      España
      Mensajes
      117

      Re: Google Chrome: ¡Primeras vulnerabilidades!

      es increíble que lancen la beta publicitada como la definitiva. Seguro que muchos usuarios se la bajaron pensando que era así.

    Página 1 de 3 123 ÚltimoÚltimo