msgbartop
Alles über Google Chrome & Google Chrome
msgbarbottom

24 Mai 12 Pwnium Chrome Hackern ausgenutzt 16 Zero-Day-Schwachstellen


Google Chrome Hackern verwendet, insgesamt 16 Zero-Day-Schwachstellen auf knacken Sie den Browser bei der Gründungsversammlung “Pwnium” Hacking Contest und gewinnen $120,000.

Die Anzahl der Bugs die beiden Forscher verwendeten – sechs einem Fall, “rund” 10 in der anderen – war dramatisch mehr als der Durchschnitt Angriff. Der Stuxnet-Wurm aus 2010, namens “Spatenstich” von einigen Analysten, verwendet nur vier Fehler, nur drei von ihnen bisher unbekannten “Zero-Day-” Sicherheitslücken.

Google detaillierte nur das halbe Dutzend durch den Forscher bekannt als Einsatz “Pinkie Pie” in einem Beitrag für die Chrome-Blog gestern. Details zu der 10 verwendet von Sergej Glasunow werden nicht weitergegeben, bis sie in andere Programme, die sie heimsuchen werden gepatcht werden, sagte Jorge Lucangeli Obes und Justin Schuh, zwei verchromten Sicherheitsingenieure.

Pinkie Pie und Glasunow waren die einzigen Preisträger bei Pwnium, März die Wahlen Google erstellt werden, nachdem es aus dem Dauerbrenner zog sich “Pwn2Own” Hacking Herausforderung. Google hatte zugesagt, zahlen bis zu $1 Million, aber am Ende nur austeilen $120,000 – $60,000 jeder der Männer.

In früheren Wettbewerben P2n2Own, Chrome entkommen war nicht nur unversehrt, sondern auch ungetestete von hochkarätigen Sicherheitsexperten.

Pinkie Pie aneinandergereiht sechs Sicherheitslücken auf März 9 zur erfolgreichen Ausbruch aus der Chrome “Sandkasten,” ein Anti-Exploit-Technologie, die den Browser vom Rest des Systems isoliert.

Die Sicherheitslücken lassen Sie ihn nutzen Chrome Vorrendern – wo der Browser lädt potenzielle Seiten, bevor ein Benutzer sie – Zugriff auf die GPU (Graphics Processor Unit) Befehlspuffer, schreiben, acht Byte des Codes an eine vorhersehbare Speicheradresse, Ausführen von zusätzlichem Code in der GPU und die Flucht des Browsers Sandkasten.

Zum Zeitpunkt der Pwnium, ein Google-Programm-Manager namens Pinkie Pie Heldentaten “Kunstwerke.”

Google gepatchte Pinkie Pie des Bugs innerhalb 24 Stunden seiner Demonstration. Seitdem, hat das Unternehmen technische Details in seinem Chromium Bug-Datenbank von fünf der sechs Schwachstellen offenbarte.

Glasunows Exploits verließ sich auf ca. 10 Sicherheitslücken – sie, zu, wurden innerhalb gepatcht 24 Stunden – aber Google hält Informationen über die Geheimdienste für heute.

“Während diese Fragen werden schon in Chrome behoben, einige von ihnen beeinflussen eine viel breitere Palette von Produkten aus einer Reihe von Unternehmen,” sagte Obes und Schuh. “Wir werden keine Posting, dass ein Teil, bis wir sind komfortabel, dass alle betroffenen Produkte haben eine ausreichende Zeit, um Korrekturen, um ihre Nutzer zu schieben.”

Chrom, derzeit in der Version 19, hatte eine geschätzte 18.9% Nutzung des Browsers Markt im April, nach Metriken Firma Net Applications. Rival StatCounter, jedoch, verdübelt Chrom-Anteil für den Monat an 31.2%.

Artikel Quelle: http://rss.feedsportal.com/c/270/f/470440/s/1fa9a773/l/0Lnews0Btechworld0N0Csecurity0C33597220Cpwnium0Echrome0Ehackers0Eexploited0E160Ezero0Eday0Evulnerabilities0C0Dolo0Frss/story01.htm

Stichworte: , , , , ,

23 Mai 12 Pwnium Hacking Contest Gewinner ausgebeutet 16 Chrome Null-Tag


Computerworld -

Google gestern ergab, dass die beiden Forscher, die Chrome März geknackt am Unternehmensstandort Antrittsrede “Pwnium” Hacking Contest verwendet insgesamt 16 Zero-Day-Schwachstellen, um zu gewinnen $60,000 jeder.

Die Anzahl der Bugs jeder Forscher verwendeten — sechs einem Fall, “rund” 10 in der anderen — war dramatisch mehr als der Durchschnitt Angriff. Der Stuxnet-Wurm aus 2010, namens “Spatenstich” von einigen Analysten, verwendet nur vier Fehler, nur drei von ihnen bisher unbekannten “Zero-Day-” Sicherheitslücken.

Google detaillierte nur das halbe Dutzend durch den Forscher bekannt als Einsatz “Pinkie Pie” in einem Beitrag für die Chrome-Blog gestern. Details zu der 10 verwendet von Sergej Glasunow werden nicht weitergegeben, bis sie in andere Programme, die sie heimsuchen werden gepatcht werden, sagte Jorge Lucangeli Obes und Justin Schuh, zwei verchromten Sicherheitsingenieure, im Blog.

Pinkie Pie und Glasunow waren die einzigen Preisträger bei Pwnium, März die Wahlen Google erstellt werden, nachdem es aus dem Dauerbrenner zog sich “Pwn2Own” Hacking Herausforderung. Google hatte zugesagt, zahlen bis zu $1 Million, aber am Ende nur austeilen $120,000 — $60,000 jeder der Männer.

In früheren Wettbewerben P2n2Own, Chrome entkommen war nicht nur unversehrt, sondern auch ungetestete von hochkarätigen Sicherheitsexperten.

Pinkie Pie aneinandergereiht sechs Sicherheitslücken auf März 9 zur erfolgreichen Ausbruch aus der Chrome “Sandkasten,” ein Anti-Exploit-Technologie, die den Browser vom Rest des Systems isoliert.

Die Sicherheitslücken lassen Sie ihn nutzen Chrome Vorrendern — wobei der Browser lädt Potential Seiten vor ein Benutzer sie — Zugriff auf die GPU (Graphics Processor Unit) Befehlspuffer, schreiben, acht Byte des Codes an eine vorhersehbare Speicheradresse, Ausführen von zusätzlichem Code in der GPU und die Flucht des Browsers Sandkasten.

Zum Zeitpunkt der Pwnium, ein Google-Programm-Manager namens Pinkie Pie Heldentaten “Kunstwerke.”

Google gepatchte Pinkie Pie des Bugs innerhalb 24 Stunden nach seiner Demonstration. Seitdem, hat das Unternehmen technische Details in seinem Chromium Bug-Datenbank von fünf der sechs Schwachstellen offenbarte.

Glasunows Exploits verließ sich auf ca. 10 Sicherheitslücken — sie, zu, wurden innerhalb gepatcht 24 Stunden — aber Google hält Informationen über die Geheimdienste für heute.

“Während diese Fragen werden schon in Chrome behoben, einige von ihnen beeinflussen eine viel breitere Palette von Produkten aus einer Reihe von Unternehmen,” sagte Obes und Schuh. “Wir werden keine Posting, dass ein Teil, bis wir sind komfortabel, dass alle betroffenen Produkte haben eine ausreichende Zeit, um Korrekturen, um ihre Nutzer zu schieben.”

Chrom, derzeit in der Version 19, hatte eine geschätzte 18.9% Nutzung des Browsers Markt im April, nach Metriken Firma Net Applications. Rivale StatCounter, jedoch, verdübelt Chrom-Anteil für den Monat an 31.2%.

deckt Microsoft, Sicherheitsfragen, Apfel, Web-Browsern und allgemeine Technologie über aktuelle Neuigkeiten für Computerworld. Folgen Sie auf Twitter unter Gregg Twitter @ Gkeizer, auf Google oder zur Zeichnung Gregg RSS-Feed Keizer RSS. Seine E-Mail-Adresse ist gkeizer@computerworld.com.

Sehen mehr von Gregg Keizer auf Computerworld.com.

Lesen Sie mehr über Malware und Sicherheitslücken in Computerworld Malware und Sicherheitslücken Topic Center.

Artikel Quelle: http://www.computerworld.com/s/article/9227404/Pwnium_hacking_contest_winners_exploited_16_Chrome_zero_days?source=rss_keyword_edpicks

Stichworte: , , , , ,

10 April 12 Google Patches 12 Fehler in Chrome


Google hat 12 Schwachstellen in Chrome, darunter sieben mit hohem Risiko Mängel. Die neue Version von Chrome enthält auch eine aktualisierte Version des Adobe Flash player.

Dies ist das zweite Update für Chrome in den letzten Tagen von Google. Das Unternehmen aktualisiert seine Browser auf einer kontinuierlichen Basis, Ausschieben ein neues Release, wann immer es gibt genügend Volumen von Sicherheitsproblemen zu befassen oder, wenn es ein hoher Priorität Schwachstelle, die eine schnelle Lösung garantiert. Als Teil seiner Bug Bounty Programm, Google ausbezahlt $6,000 in Belohnungen für Forscher, die Schwachstellen der Gesellschaft mitgeteilt. Unter den Forschern, die dieses Mal qualifiziert sind Sergey Glasunow und Miaubiz, die beide regelmäßig erhalten Auszahlungen von Google für ihre Forschung.

Die Security-Fixes in der aktuellen Chrome-Version enthalten sind:

[$500] [106577] Medium CVE-2011-3066: Out-of-bounds in Skia Clipping lesen. Wir danken miaubiz.
[117583] Medium CVE-2011-3067: Cross-Herkunft iframe Ersatz. Dank an Sergey Glazunov.
[$1000] [117698] Hohe CVE-2011-3068: Use-after-free-run-in im Umgang mit. Wir danken miaubiz.
[$1000] [117728] Hohe CVE-2011-3069: Use-after-free in Zeile Feld Handling. Wir danken miaubiz.
[118185] Hohe CVE-2011-3070: Use-after-free in V8-Bindungen. Dank an Google Chrome Security Team (Skylined).
[118273] Hohe CVE-2011-3071: Use-after-free in HTMLMediaElement. Wir danken pa_kt, Berichterstattung durch HP TippingPoint ZDI (ZDI-CAN-1528).
[118467] Low CVE-2011-3072: Cross-Parenting Herkunft Verletzung Popup-Fenster. Dank an Sergey Glazunov.
[$1000] [118593] Hohe CVE-2011-3073: Use-after-free in SVG-Ressource Handling. Dank an Arthur Gerkis.
[$500] [119281] Medium CVE-2011-3074: Use-after-free in Medien-Handling. Dank an Sławomir Blazek.
[$1000] [119525] Hohe CVE-2011-3075: Use-after-free-style-Befehl anwenden. Wir danken miaubiz.
[$1000] [120037] Hohe CVE-2011-3076: Use-after-free in Fokus-Behandlung. Wir danken miaubiz.
[120189] Medium CVE-2011-3077: Read-after-free in Skript-Bindungen. Dank an Google Chrome Security Team (Inferno).

Kommentierte dieses Artikels wird automatisch geschlossen, im Juli 5, 2012.

Artikel Quelle: http://threatpost.com/en_us/blogs/google-patches-12-flaws-chrome-040512

Stichworte: , , ,

25 MEER 12 Bug Hunter Hacks Chrome auf der CanSecWest; Belohnung verdient Top Von Google


Während Googles Pwnium Contest am CanSecWest Sicherheits-Konferenz in Vancouver am Mittwoch, Russische Bug Jäger Sergej Glasunow zeigte eine Chrome Exploit, der vollständig besiegt die Browser-vielbeschworene Sicherheits-Sandbox.

Chrome gilt als einer der sichersten Web-Browser von der Sicherheits-Community angesehen, vor allem wegen seiner Sandbox-Architektur, welche einschränkt, wie es mit dem Betriebssystem zusammenarbeitet und wesentlich einschränkt, was Angreifern tun können, wenn sie eine Sicherheitsanfälligkeit auszunutzen.

Eine Jury aus Sicherheitsexperten aus Accuvant und Coverity, wer analysiert die defensiven Möglichkeiten von modernen Browsern in der Tiefe, in der vergangenen Woche bei der RSA-Sicherheitskonferenz in San Francisco, dass Chrome Sandbox Prozesse daran hindert, so gut wie nichts auf dem System.

Jedoch, gibt es einen Konsens in der Sicherheits-Community, dass während Sandboxing eine starke Anti-Ausbeutung Mechanismus ist, es bietet keine perfekte Verteidigung und ein entschlossener Angreifer kann theoretisch besiegen, jedoch mit einer viel Arbeit.

Für die diesjährige Konferenz CanSecWest, Google entschieden einen Wettbewerb namens Pwnium parallel mit bekannten Pwn2Own TippingPoint Wettbewerb laufen, die Sicherheit belohnt Forscher für das Auffinden und die Nutzung ungepatchte Remotecodeausführung (RCE) Schwachstellen in Browsern.

Pwnium hat einen maximalen Preispool von 1 Million US $ und Chancen, die verschiedene Arten von Chrom-Exploits. Die größte Auszeichnung ist $60,000 und wird an Forscher, die persistent RCE Exploits demonstrieren ausgezeichnet, dass Ziel nur Schwachstellen in Google Chrome-Code.

Der erste Top-Belohnung zu verdienen war Sergey Glazunov, eine regelmäßige Chrome Bug Jäger, der am Mittwoch, während des ersten Tages des Wettbewerbs, gezeigt, dass ein Exploit komplett umgangen Chrome-Sandbox.

Der Exploit wurde validiert von der Google Chrome-Team. “Herzlichen Glückwunsch an langjährige Beitragszahler Chromium Sergej Glasunow, der gerade vorgelegten unsere erste Eintrag Pwnium. Sieht so aus als qualifiziert ‘Vollständige Chrome’ ausbeuten,” Sundar Pichai, Googles Senior Vice President für Chrome, sagte über seine Google-Konto . “Wir sind schnell arbeiten an einer Lösung, dass wir via Auto-Update zu schieben.”

Andere Chrome Sicherheitsingenieure, wie Justin Schuh oder Chris Evans, drückten ihre Begeisterung über den Exploit via Twitter. “Was für ein toller Bug von Sergey. Aber noch eine ganze Menge Geld gelassen, Hoffnung auf mehr Teilnehmer,” Evans sagte, auf seinem Twitter-Feed.

Glasunow, wer hat viele Belohnungen für das Finden Chrome Sicherheitslücken in der Vergangenheit verdient, war nicht auf der CanSecWest in Person. Stattdessen legte er seine Pwnium Eintrag durch unabhängige Sicherheitsforscher Aaron Sigel.

Während der Tag der Einführung des Wettbewerbs Pwn2Own, Ein Team von Forschern aus Französisch-Sicherheitsfirma VUPEN Sicherheit auch geschafft, Chrome zu hacken. Jedoch, Chrome Security-Team vermutet, dass die Forscher’ nutzen gezielt eine Schwachstelle im Flash Player-Plug-in, das kommt mit der Browser standardmäßig.

Wenn es das ist wahr, VUPEN Exploit würde nur für einen Trostpreis von Pwnium qualifiziert haben $20,000, hatte sie zum Wettbewerb eingereicht. VUPEN nicht bestätigen, dass ihre Pwn2Own Chrome nutzen eine Schwachstelle gezielt Flash Player, die nicht durch den Wettbewerb Pwn2Own Regeln verboten.

Artikel Quelle: http://www.pcworld.com/businesscenter/article/251506/bug_hunter_hacks_chrome_at_cansecwest_earns_top_reward_from_google.html

Stichworte: , , ,

24 MEER 12 Google-Patches 9 Chrome Bugs, zahlt mehr für Spitzenforscher


Computerworld - Google gestern neun Sicherheitslücken in Chrome in der sechsten Sicherheits-Update für Chrome gepatcht 17, die Auflage, die Februar gestartet. 8.

Mittwoch war das erste Update seit der Chrome-Security-Team erteilt ein Paar schnelle Lösungen bei der “Pwnium” Hacking-Event März 7-9 an der CanSecWest Security Conference.

Sechs der neun Bugs gepatchte Mittwoch wurden bewertet “hoch,” die zweite am dire Ranking in den Google-Drohung System. Einer wurde markiert “Medium,” und die verbleibenden zwei etikettiert wurden “niedrig.”

Google bezahlt $5,500 in Kopfgelder zu vier Forscher für die Meldung von fünf Bugs. Die vier anderen Schwachstellen wurden von Mitgliedern der eigenen Sicherheit die Google-Team entdeckt hat oder waren zu gering, um Anspruch auf einen Bonus.

Drei der vier Forscher, die Schwachstellen in Chrome behoben gemeldet 17 Gestern wurden vor kurzem von Google erkannt.

Sergey Glazunov, wer erhielt ein $2,000 Kopfgeld für einen Fehlerbericht von Google, wie beschrieben “Cross-Herkunft Verletzung mit ‘Magie iframe,'” war einer von zwei $60,000 Preisträger bei Pwnium früher in diesem Monat.

Glasunow war der erste, Bargeld an Pwnium behaupten, Die Chrome-Hacking Herausforderung nur, dass Google erstellt werden, nachdem es aus dem Dauerbrenner Pwn2Own Contest zog sich über Einwände über dessen Exploit Berichtspraktiken.

Zwei andere, Arthur Gerkis und ein Forscher bekannt als “miaubiz,” empfangen $1,000 und $2,000, beziehungsweise, für Bugs, dass Google gestern gepatcht.

Gerkis und miaubiz waren zwei der drei Jäger, die außerhalb Bug gegeben wurden besondere $10,000 Boni vor drei Wochen für das, was Google genannt “nachhaltig, außergewöhnlich” Beiträge zu seiner Verletzlichkeit Berichterstattung Programm.

Bisher in diesem Jahr, Google hat fast bezahlt $200,000 außerhalb Forscher durch seine Fehler Kopfgeld und Pwnium Programme.

Google wird in keinem Patchen ein Fehler Chrome offenbarte in sein “Pwn2Own,” der andere Hacking Contest, der auf der CanSecWest lief.

Am Pwn2Own, ein Team aus dem Französisch-Sicherheitsfirma VUPEN ausgebeutet Chrome mit einem Doppelschlag von ein Bug im Flash Player — die Google-Bundles mit seinem Browser — und ein Chrome “Sandkasten Flucht” Verwundbarkeit.

Weil Pwn2Own Sponsor HP TippingPoint Zero Day Initiative (GEMÄUER) Bug Bounty Programm benötigt keine Forscher, Sandkasten Flucht Schwachstellen offenlegen, Google wurde nicht gesagt, wie das Team VUPEN Chrome gehackt.

Das gestrige Update auf Chrom 17 kann für Windows heruntergeladen werden, Mac OS X und Linux von der Google-Website. Benutzer, die den Browser wird automatisch die neue Version erhalten durch seine stille, in-the-Hintergrund-Update-Service.

deckt Microsoft, Sicherheitsfragen, Apfel, Web-Browsern und allgemeine Technologie über aktuelle Neuigkeiten für Computerworld. Folgen Sie auf Twitter unter Gregg Twitter @ Gkeizer, auf Google oder zur Zeichnung Gregg RSS-Feed Keizer RSS. Seine E-Mail-Adresse ist gkeizer@computerworld.com.

Sehen mehr von Gregg Keizer auf Computerworld.com.

Mehr: Browser-Topic Center

Lesen Sie mehr über Sicherheit in Computerworld Security Topic Center.

Artikel Quelle: http://www.computerworld.com/s/article/9225441/Google_patches_9_Chrome_bugs_pays_more_to_top_researchers

Stichworte: , , ,

24 MEER 12 Google-Patches 9 Chrome Bugs, zahlt mehr für Spitzenforscher


Google gestern gepatcht neun Sicherheitslücken in Chrome in der sechsten Sicherheits-Update für Chrome 17, die Auflage, die Februar gestartet. 8.

Mittwoch war das erste Update seit der Chrome-Security-Team erteilt ein Paar schnelle Lösungen bei der “Pwnium” Hacking-Event März 7-9 an der CanSecWest Security Conference.

Sechs der neun Bugs gepatchte Mittwoch wurden bewertet “hoch,” die zweite am dire Ranking in den Google-Drohung System. Einer wurde markiert “Medium,” und die verbleibenden zwei etikettiert wurden “niedrig.”

Google bezahlt $5,500 in Kopfgelder zu vier Forscher für die Meldung von fünf Bugs. Die vier anderen Schwachstellen wurden von Mitgliedern der eigenen Sicherheit die Google-Team entdeckt hat oder waren zu gering, um Anspruch auf einen Bonus.

Drei der vier Forscher, die Schwachstellen in Chrome behoben gemeldet 17 Gestern wurden vor kurzem von Google erkannt.

Sergey Glazunov, wer erhielt ein $2,000 Kopfgeld für einen Fehlerbericht von Google, wie beschrieben “Cross-Herkunft Verletzung mit ‘Magie iframe,'” war einer von zwei $60,000 Preisträger bei Pwnium früher in diesem Monat.

Glasunow war der erste, Bargeld an Pwnium behaupten , Die Chrome-Hacking Herausforderung nur, dass Google erstellt werden, nachdem es aus dem Dauerbrenner Pwn2Own Contest zog sich über Einwände über dessen Exploit Berichtspraktiken.

Zwei andere, Arthur Gerkis und ein Forscher bekannt als “miaubiz,” empfangen $1,000 und $2,000, beziehungsweise, für Bugs, dass Google gestern gepatcht.

Gerkis und miaubiz waren zwei der drei Jäger, die außerhalb Bug gegeben wurden besondere $10,000 Boni vor drei Wochen für das, was Google genannt “nachhaltig, außergewöhnlich” Beiträge zu seiner Verletzlichkeit Berichterstattung Programm.

Bisher in diesem Jahr, Google hat fast bezahlt $200,000 außerhalb Forscher durch seine Fehler Kopfgeld und Pwnium Programme.

Google wird in keinem Patchen ein Fehler Chrome offenbarte in sein “Pwn2Own,” der andere Hacking Contest, der auf der CanSecWest lief.

Am Pwn2Own, ein Team aus dem Französisch-Sicherheitsfirma VUPEN ausgebeutet Chrome mit einem Doppelschlag von ein Bug im Flash Player — die Google-Bundles mit seinem Browser — und ein Chrome “Sandkasten Flucht” Verwundbarkeit.

Weil Pwn2Own Sponsor HP TippingPoint Zero Day Initiative (GEMÄUER) Bug Bounty Programm benötigt keine Forscher, Sandkasten Flucht Schwachstellen offenlegen, Google wurde nicht gesagt, wie das Team VUPEN Chrome gehackt.

Das gestrige Update auf Chrom 17 kann für Windows heruntergeladen werden, Mac OS X und Linux aus dem Google-Website. Benutzer, die den Browser wird automatisch die neue Version erhalten durch seine stille, in-the-Hintergrund-Update-Service.

Gregg Keizer deckt Microsoft, Sicherheitsfragen, Apfel, Web-Browsern und allgemeine Technologie über aktuelle Neuigkeiten für Computerworld. Folgen Sie Gregg auf Twitter bei @ Gkeizer , auf Google oder zur Zeichnung Gregg RSS-Feed . Seine E-Mail-Adresse ist gkeizer@computerworld.com .

Sehen mehr von Gregg Keizer auf Computerworld.com .

Lesen Sie mehr über Sicherheit in Computerworld Security Topic Center.

Artikel Quelle: http://www.itworld.com/security/261172/google-patches-9-chrome-bugs-pays-more-top-researchers

Stichworte: , , ,

22 MEER 12 Google-Patches 9 Chrome Bugs, zahlt mehr für Spitzenforscher


Computerworld - Google gestern neun Sicherheitslücken in Chrome in der sechsten Sicherheits-Update für Chrome gepatcht 17, die Auflage, die Februar gestartet. 8.

Mittwoch war das erste Update seit der Chrome-Security-Team erteilt ein Paar schnelle Lösungen bei der “Pwnium” Hacking-Event März 7-9 an der CanSecWest Security Conference.

Sechs der neun Bugs gepatchte Mittwoch wurden bewertet “hoch,” die zweite am dire Ranking in den Google-Drohung System. Einer wurde markiert “Medium,” und die verbleibenden zwei etikettiert wurden “niedrig.”

Google bezahlt $5,500 in Kopfgelder zu vier Forscher für die Meldung von fünf Bugs. Die vier anderen Schwachstellen wurden von Mitgliedern der eigenen Sicherheit die Google-Team entdeckt hat oder waren zu gering, um Anspruch auf einen Bonus.

Drei der vier Forscher, die Schwachstellen in Chrome behoben gemeldet 17 Gestern wurden vor kurzem von Google erkannt.

Sergey Glazunov, wer erhielt ein $2,000 Kopfgeld für einen Fehlerbericht von Google, wie beschrieben “Cross-Herkunft Verletzung mit ‘Magie iframe,'” war einer von zwei $60,000 Preisträger bei Pwnium früher in diesem Monat.

Glasunow war der erste, Bargeld an Pwnium behaupten, Die Chrome-Hacking Herausforderung nur, dass Google erstellt werden, nachdem es aus dem Dauerbrenner Pwn2Own Contest zog sich über Einwände über dessen Exploit Berichtspraktiken.

Zwei andere, Arthur Gerkis und ein Forscher bekannt als “miaubiz,” empfangen $1,000 und $2,000, beziehungsweise, für Bugs, dass Google gestern gepatcht.

Gerkis und miaubiz waren zwei der drei Jäger, die außerhalb Bug gegeben wurden besondere $10,000 Boni vor drei Wochen für das, was Google genannt “nachhaltig, außergewöhnlich” Beiträge zu seiner Verletzlichkeit Berichterstattung Programm.

Bisher in diesem Jahr, Google hat fast bezahlt $200,000 außerhalb Forscher durch seine Fehler Kopfgeld und Pwnium Programme.

Google wird in keinem Patchen ein Fehler Chrome offenbarte in sein “Pwn2Own,” der andere Hacking Contest, der auf der CanSecWest lief.

Am Pwn2Own, ein Team aus dem Französisch-Sicherheitsfirma VUPEN ausgebeutet Chrome mit einem Doppelschlag von ein Bug im Flash Player — die Google-Bundles mit seinem Browser — und ein Chrome “Sandkasten Flucht” Verwundbarkeit.

Weil Pwn2Own Sponsor HP TippingPoint Zero Day Initiative (GEMÄUER) Bug Bounty Programm benötigt keine Forscher, Sandkasten Flucht Schwachstellen offenlegen, Google wurde nicht gesagt, wie das Team VUPEN Chrome gehackt.

Das gestrige Update auf Chrom 17 kann für Windows heruntergeladen werden, Mac OS X und Linux von der Google-Website. Benutzer, die den Browser wird automatisch die neue Version erhalten durch seine stille, in-the-Hintergrund-Update-Service.

deckt Microsoft, Sicherheitsfragen, Apfel, Web-Browsern und allgemeine Technologie über aktuelle Neuigkeiten für Computerworld. Folgen Sie auf Twitter unter Gregg Twitter @ Gkeizer, auf Google oder zur Zeichnung Gregg RSS-Feed Keizer RSS. Seine E-Mail-Adresse ist gkeizer@computerworld.com.

Sehen mehr von Gregg Keizer auf Computerworld.com.

Mehr: Browser-Topic Center

Lesen Sie mehr über Sicherheit in Computerworld Security Topic Center.

Artikel Quelle: http://www.computerworld.com/s/article/9225441/Google_patches_9_Chrome_bugs_pays_more_to_top_researchers

Stichworte: , , ,

16 MEER 12 Google Chrome Pwnium Contest macht das Web Eine sicherere Welt


Google Chromes Pwnium Contest Makes The Web A Safer Place

Google hat begonnen, einen Wettbewerb namens Pwnium letzte Woche, dass die Aufgabe Hackern zu Exploits auf seiner Web-Browser Chrome zu finden. Wir berichteten, wie ein Russische Studentin gewonnen hatte, $60,000 für seinen Hack.

Der Google Chrome Security Team über die Entsendung von Chrome Blog dass die gesamte Auszahlung in der letzten Woche für Pwnium liegt nun an $120,000. Sie wurden zu zwei Einreichungen bezahlt, einer davon kam von Sergey Glazunov. Google konnte ausrollen Updates, um diese Sicherheitslücken zu patchen innerhalb 24 Stunden der Ausbeutung.

Exploits sind in der Regel von einem Security-Team, die nur begrenzte Informationen in Bezug hat, wie der Hacker ausgenutzt ihre Software gepatcht. Sie sind meist gezwungen, zu erraten, wie der Exploit durch die Spur hinter der Hacker hinterlassen wurde implementiert. Die Pwnium Wettbewerb ist vergleichbar mit einer kontrollierten Umgebung, wo die Chrome-Team den Exploit in seiner Gesamtheit sehen können und Zeit haben, um es vor dem Roll-out ein Update zu studieren.

Der Chrome-Security-Team auch ein drittes Exploit, der an einem anderen Ereignis entdeckt wurde letzte Woche detailliert. Der Exploit in Frage benutzt eine Schwachstelle im Flash Player-Plug-In, konnte alle Browser beeinflussen. Der Exploit wurde auf Adobe detailliert und ihrem Team an einem Patch, die umgesetzt werden wird, die in naher Zukunft.

Apropos Flash Player, Google angekündigt, dass sie mit Adobe arbeitet an einer Version des Flash Players, die nativ in der Chrome-Sandbox bieten. Das Chromebook verfügt bereits über diese Funktionalität.

All dies geht nur um Ihnen zu zeigen, dass es gute Hacker da draußen. Hacker sind in der Regel in ein schlechtes Licht auf die Aktionen des Agenten Schurkenstaaten gestrichen, aber die Mehrheit von ihnen sind nur macht das Web zu einem sichereren und besseren Ort.

Artikel Quelle: http://www.webpronews.com/google-chromes-pwnium-contest-makes-the-web-a-safer-place-2012-03

Stichworte: , ,

12 MEER 12 Chrome gehackt wird, schließlich


Chrome gets hacked, finally

VUPEN Security und Sergey Glazunov unabhängig verwaltet, um die Sicherheit von Google Chrome Verteidigungsanlagen an der Pwn2Own eindringen und ‘Pwnium’ Wettbewerbe bzw..

Pwn2Own ist eine jährliche Computer-Hacking Contest im März in Vancouver statt, Kanada. Sicherheitsexperten versuchen und finden Schwachstellen in Software, die vorher unbekannt waren (genannt Zero-Day-Angriffe und Exploits) und die Kontrolle über das Zielsystem. Sieger gewinnen einen Geldpreis in Höhe (in den Tausenden Dollar) und erhalten Sie mit nach Hause nehmen das System haben sie gehackt.

In diesem Jahr organisierte auch Google einen unabhängigen Wettbewerb der gleichen Art gehostet exakt an der gleichen Stelle, genannt "Pwnium" ("PWN" ist Slang für Hack).

Googles Browser Chrome hat eine hervorragende Sicherheit Rekord dank kontinuierlicher Aufmerksamkeit von Google und seine Unterstützung gegenüber den Open Source Entwicklern. Der Browser ist nicht durch einen Zero-Day-Angriff kompromittiert worden, seit es eingeführt wird, das ist ein ziemlich großes Ding, man bedenkt, dass Firefox, Internet Explorer (IE) und Safari gehackt jedes Jahr.

Die Sicherheitsexperten hatten einen komplizierten Hack, um durch die Chrome-Sandbox auszuführen brechen, das ist wie ein virtueller Container, der Web-Inhalten verhindert die Interaktion mit gefährdeten Teile des Betriebssystems.

Google ging an die Arbeit sofort und hat es geschafft, den Exploit zu beheben. Die Details werden enthüllt nur, nachdem das Unternehmen glaubt, dass eine erhebliche Anzahl von Menschen haben ihre Browser aktualisiert werden.

IE 9 unter Windows 7 wurde auch gehackt, wieder durch einen komplizierten Hack, der auf der Browser-Sandbox zu umgehen, hatte. Microsoft, jedoch, kann nicht so schnell reagieren, als seine Qualität Testverfahren dauert in der Regel ein paar Monate, um Fehler wie diese zu beheben.

Safari auf Mac OS X Snow Leopard, zusammen mit Firefox und IE 8 unter Windows XP, wurde auch gehackt.

Während die Kandidaten, Software-Firmen und Veranstalter (TippingPoint und Google) bleiben in der Regel schmallippig über die entdeckten Schwachstellen, bis sie behoben sind, aktuelle Vermutung ist, dass einer der Chrome Sicherheitslücken auf der Adobe Flash Plug-In beziehen, während die andere und die IE 9 Bug bezieht sich auf die native Browser-Code, kein Drittanbieter-Plug-in.

Artikel Quelle: http://www.deccanchronicle.com/channels/sci-tech/others/chrome-gets-hacked-finally-404

Stichworte: , , ,