Jump to content
Sign in to follow this  
Spark

Google E Mozilla Pagam A Quem Encontrar Falhas - Update

Recommended Posts

Google Incentiva ataques ao Chrome

A google lançou um programa experimental para encorajar os investigadores(externos a Google) da área de segurança, a realizarem investigações de forma a encontrarem vulnerabilidade no seu browser. À semelhança do que aconteceu em 2004 através do programa Security Bug Bounty da Fundação Mozilla, as descobertas são premiadas com um valor de US$500 por cada bug encontrado.Em alguns casos o comité decide aumentar a fasquia para os US$1,337

Ainda de acordo com a Google, não importa se a vulnerabilidade encontrada estiver associada a versão de código aberto do chrome ou no binário. Um nota importante, é que os bugs encontrados em plugins de terceiros não contam para se ganhar o valor anunciados. Neste sentido, a Google espera poder melhorar o seu browser e assim transmitir mais confiança aos utilizadores.Qualquer bug encontrado poderá ser reportado via bug tracking system, da Google.

Voluntários? :-..

Edited by Spak

Share this post


Link to post
Share on other sites

1337 é tão geek o valor

vamos lá ver quem vai andar a furar o brower da google

bem estes gajos têm praticamente de tudo, falta lançar 1 desktop e laptop

Share this post


Link to post
Share on other sites

Upa...

Exploit põe em causa segurança do Chrome

O Chrome é tido como um dos Browsers mais seguros da actualidade. Devido à sua diminuta quota de mercado, tem gozado durante algum tempo desse estatuto. Mas há medida que tem registado um aumento galopante na quota de mercado dos navegadores Web, era apenas uma questão de tempo até ser concebida uma extensão engenhosa pondo em causa a sua segurança e a dos seus utilizadores.

O programador Andreas Grech desenvolveu uma extensão para o Chrome, utilizando as bibliotecas de Ajax jQuery, de modo a monitorizar as credenciais de login num formulário e enviá-las para o seu mail. Segundo o próprio:

“O Google Chrome, permite a instalação de extensões desenvolvidas por terceiros que permite estender as funcionalidades do browser. As extensões são escritas em Javascript e HTML e permite uma manipulação do DOM, entre outras potencialidades.

Ao permitir acesso ao DOM, um atacante pode percorrê-lo e ler campos, inclusive o nome de utilizador e palavra pass. Foi esta a ideia que me levou a desenvolver este Proof of Concept

A extensão que apresento é bastante simples. Quando um utilizador submete um formulário, esta tenta capturar o conteúdo dos campos referentes ao nome de utilizador e password, manda-me um mail com esta informação e a url via uma chamada por Ajax a um script e depois procede à submissão normal do formulário de modo a evitar que haja uma detecção deste processo.”

O código para conseguir este “exploit”, está disponível no blog do autor. Esta falha demonstra que apesar de o sistema de extensões do Chrome ser uma funcionalidade que há muito tempo era esperada de modo a este browser se aproximar de todo o potencial que conhecemos no Firefox, não deixa de ironicamente ser o seu calcanhar de Aquiles.

Este desleixo da forma como foi pensado o sistema de extensões do Chrome, abre uma porta escancarada ao computador dos seus utilizadores, pronta a ser utilizada por qualquer hacker mal intencionado, que queira injectar várias vertentes de malware. Tudo se resume a uma falha gravíssima de segurança, explorável por um código tão simples.

Talvez seja por isso, que a Firefox sempre apostou numa linguagem própria (o XUL), que é a tecnologia que está por detrás do seu browser, e que é simultaneamente usada no seu sistema de extensões, em vez de HTML e Javacript que são mais de domínio público e de fácil aprendizagem para orquestrar estes ataques. Isto tudo no nosso ponto de vista, demonstra que nesta particular funcionalidade a Google não tem a experiencia da Mozilla e que tem muito ainda um longo caminho a percorrer em aperfeiçoar o frágil sistema de extensões do Chrome.

Cuidado utilizadores do Chrome... esta aparentemente é a 1ª extensão que aparece, mas como o seu criador deixou o código no seu blog, algo me diz que aparecem já outras tantas para usar o mesmo exploit.

B)

Share this post


Link to post
Share on other sites
...a Google não tem a experiência da Mozilla

Mai nada -_-

Share this post


Link to post
Share on other sites

Mas tipo isto é uma cena mesmo básica...

E não sei até que ponto as extensões do Firefox não podem fazer o mesmo...

Share this post


Link to post
Share on other sites

Agora o Mozilla também quer entrar na 'festa'...

Google e Mozilla pagam a quem encontrar falhas

A Mozilla dá entre 500 e três mil dólares a quem encontrar falhas no Firefox. A Google aumentou a parada para um número marcante: 3133,70 dólares para quem descobrir erros graves no Chrome.

A recompensa da Google é um claro piscar de olhos à comunidade de "elite" da Internet. A Google explica que, desde que lançou o programa, apenas pagou uma vez a recompensa máxima a alguém. A recompensa de mil dólares já foi paga a seis programadores, 14 receberam 500 dólares e um chegou a receber 509 dólares.

Alguns especialistas em segurança chegam a ceder as recompensas que conseguem para obras de caridade.

@ Exame Informática

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.