msgbartop
Todo acerca de Google Chrome & Google Chrome OS
msgbarbottom

13 Mar 12 Trampa de Google Chrome para los escritores de Exploit conduce a accidentes para los usuarios


Una limitación de reciente construcción en Google Chrome para detectar y bloquear Flash Player hazañas terminaron por romper algunos productos basados ​​en Flash-juegos y aplicaciones para algunos usuarios.

Ante la sospecha de que alguien intente hackear Chrome a través de un exploit de Flash en el concurso Pwn2Own de este año, desarrolladores del navegador decidió restringir el tamaño máximo permitido de Flash JIT (justo a tiempo) páginas a un valor que tales hazañas es probable que excedan.

La restricción fue escrita de tal manera que cuando el nuevo límite se alcanzaría el navegador lanzará una “acceso violación” excepción de que referencia a la memoria la dirección “0xABAD1DEA,” un valor hexadecimal deletreando “una mala idea.”

De acuerdo con el desarrollo de Chrome de seguimiento, el límite se introdujo en febrero 23 y fue probado por primera vez en Canarias del navegador (nightly build) versión. El límite fue ajustado más tarde a causa de un número considerable de informes de fallos y aterrizó en la versión estable de Chrome 17.0.963.66 en marzo 6.

Algunos de los concursantes Pwn2Own se tropieza con la restricción de la página de Flash JIT. Nicolas Joly,, un miembro del equipo de seguridad VUPEN, que finalmente ganó el concurso de hacking, , dijo en Twitter que se encontró con excepciones 0xABAD1DEA durante sus pruebas.

Google Chrome ingeniero de seguridad de Justin Schuh reveló que él fue quien lo puso ahí con el fin de detectar vulnerabilidades de Flash. “0xABAD1DEA era una ruta de navegación que añadió que es único en Flash,” dijo en Twitter.

Schuh más tarde aclaró que no era sólo una trampa, sino también una mitigación, aunque admitió que se trataba de una débil. El equipo de VUPEN finalmente logró abrirse camino en torno a la restricción y Chrome hackeado durante el concurso.

Sin embargo, Google, un medio de mitigación de, medio de la trampa del código causado más problemas que los que resuelve, debido a que terminó interfiriendo con el normal funcionamiento de algunos legítimos basados ​​en Flash aplicaciones y juegos, al igual que Los Sims Social, Audiotool y en línea Paychex.

De acuerdo con informes en el foro de soporte de Google Chrome, los usuarios comenzó a experimentar Flash Player bloquea 0xABAD1DEA referencia después de actualizar a la versión Chrome 17.0.963.66.

Los cambios encaminados a abordar el problema se hizo en la versión de Chrome 17.0.963.79, que fue lanzada el sábado, un empleado de Google, dijo en respuesta a los informes. Sin embargo, algunos usuarios todavía experimentado 0xABAD1DEA accidentes relacionados con el después de actualizar a.

El artículo fuente de: http://www.pcworld.com/businesscenter/article/251669/googles_trap_for_chrome_exploit_writers_leads_to_crashes_for_users.html

Etiquetas: , , ,

Los comentarios están cerrados.