msgbartop
Tutto su Google Chrome & Google Chrome OS
msgbarbottom

13 Mare 12 Trappola di Google per Chrome Writers Exploit Porta a Crashes per gli utenti


Una limitazione di recente costruzione in Google Chrome per rilevare e bloccare gli exploit Flash Player finito per rompere alcune applicazioni basate su Flash e giochi per alcuni utenti.

Sospettando che qualcuno avrebbe tentato di hackerare Chrome tramite un exploit Flash al contest Pwn2Own di quest'anno, Gli sviluppatori del browser hanno deciso di limitare la dimensione massima consentita di Flash JIT (just in time) pagine a un valore che tali exploit sarebbe probabilmente superiore.

La limitazione è stato scritto in modo tale che quando il nuovo limite sarebbe raggiunto il browser dovrebbe generare “violazione di accesso” eccezione che indirizzo di memoria di riferimento “0xABAD1DEA,” un valore esadecimale enunciando “una cattiva idea.”

Secondo Chrome di sviluppo Tracker, il limite è stato introdotto febbraio 23 ed è stato prima testato in Canary del browser (nightly build) versione. Il limite è stato successivamente ottimizzato a causa di un considerevole numero di segnalazioni di crash ed è atterrato in versione stabile Chrome 17.0.963.66 marzo 6.

Alcuni dei concorrenti Pwn2Own ha inciampare la restrizione Flash pagina JIT. Nicolas Joly, un membro del team di sicurezza VUPEN, che alla fine ha vinto il contest di hacking, ha detto su Twitter che ha incontrato eccezioni 0xABAD1DEA durante le sue prove.

Google Chrome sicurezza ingegnere Justin Schuh ha rivelato che era lui quello che lo ha messo lì per rilevare gli exploit Flash. “0xABAD1DEA era un breadcrumb ho aggiunto che è unico in Flash,” ha detto su Twitter.

Schuh poi chiarito che non era solo una trappola, ma anche una attenuazione, anche se ha ammesso che si trattava di una debole. Il team di VUPEN finalmente riusciti a trovare il loro modo per aggirare la restrizione e Chrome hacked durante la gara.

Tuttavia, Google mezza mitigazione, mezzo-trap code causato più problemi di quanti ne risolve, perché ha finito per interferire con il normale funzionamento di alcuni legittimi Flash-giochi e applicazioni basati, come Sims sociale, Audiotool e Paychex online.

Secondo rapporti sul forum di supporto di Google Chrome, Gli utenti iniziato a sperimentare Flash Player si blocca 0xABAD1DEA riferimento dopo che l'aggiornamento alla versione Chrome 17.0.963.66.

Modifiche volte ad affrontare il problema sono state effettuate in versione Chrome 17.0.963.79, che è stato pubblicato il Sabato, un dipendente di Google ha detto in risposta alle relazioni. Tuttavia, alcuni utenti ancora sperimentato 0xABAD1DEA relativi crash dopo l'aggiornamento ad esso.

Articolo fonte: http://www.pcworld.com/businesscenter/article/251669/googles_trap_for_chrome_exploit_writers_leads_to_crashes_for_users.html

Tags: , , ,

I commenti sono chiusi.