[ 18/09/2012 - Update ]
Devido a uma vulnerabilidade 0-day presente em todas as versões do Internet Explorer (até a v9),
empresas que ainda usam o Internet Explorer como padrão em suas estações devem utilizar um outro browser. Já existem exploits públicos disponíveis e sendo utilizadas largamente. O IE10 não está vulnerável, o que pode indicar que a Microsoft corrigiu esta falha silenciosamente.
O Governo alemão recomendou que todos os usuários deixem de utilizar o IE, até que a Microsoft libere um patch para o problema.
Outras links sobre o assunto que valem a visita:
- AlianVault: http://labs.alienvault.com/labs/index.php/2012/new-internet-explorer-zero-day-being-exploited-in-the-wild/
O Chrome foi o único browser a sobreviver aos desafios da PWN2OWN até o momento. E para o evento de 2012, o Google anunciou que vai pagar recompensas até o limite de $ 1.000.000,00 (um milhão de dólares), sendo que o tipo de bug mais valioso é um "Full Chrome Exploit" no Windows 7.
Mais informações:
http://blog.chromium.org/2012/02/pwnium-rewards-for-exploits.html
[ 15/12/2011 - Update ]
A Microsoft anunciou hoje que a partir de Janeiro de 2012, iniciando pelos clientes Windows ( da Austrália e Brasil, será executado, via windows update, a migração de de versões antigas de IE para a versão mais nova suportada pelo sistema operacional (XP: 8, Vista: 9, Windows 7: 10)
Duas observações:
Do ponto de vista de segurança, é melhor ter um IE 8 que um IE 6, sem dúvida. Porém a Microsoft ainda tem que melhorar especialmente no que diz respeito ao Sandboxing e à Segurança de Plugins, como pode ser visto no gráfico comparativo do Update de 13/12/2011, abaixo. Para um caso prático, veja o post "Exploit Kits e o seu Java".
Do ponto de vista da briga no mercado de navegadores (Browser Wars) é um movimento muito inteligente da Microsoft já que o padrão nos últimos tempos tem sido de grande queda do IE e leve queda do Firefox, e grande crescimento do Chrome. Veja o gráfico divulgado recentemente pela StatCounter:
.svg)
Com este movimento de atualizar os browsers antigos via windows update a Microsoft pode evitar que usuários insatisfeitos com o IE 6 ou 7 migrem para o Chrome ou Firefox, atenuando assim a queda vertiginosa do Internet Explorer nos últimos 4 anos. Mais inteligente ainda seria portar as versões mais novas do IE para os S.Os. mais antigos..
Post relacionado:
[ 13/12/2011 - Update ]
Na última semana a Accuvant publicou um estudo bem completo (mais de 100 páginas) comparando a segurança dos principais Browsers. Segue o link para o relatório detalhado (PDF) entitulado "Browser Security Comparison". Um resumo dos resultados pode ser visto no gráfico abaixo:
Nem o browser com melhor design e histórico de segurança (veja updates mais antigos) conseguiu resistir..
Chrome 32bit e 64bit para Windows Pwn3d pela Vupen, usando 0-day e incluindo bypass de ASLR/DEP/Sandbox, (não fecha o browser ao executar o payload), mais informações e vídeo de demonstração em http://www.vupen.com/demos/VUPEN_Pwning_Chrome.php
A Vupen informa que detalhes da exploração (e o exploit) serão repassados exclusivamente para os clientes governamentais que assinam seus serviço "Offensive Solutions"
[ 16/03/2011 - Update ]
Apesar do Firefox também ter sobrevivido ao último desafio PWN2OWN, o Chrome saiu mais uma vez na frente corrigindo com uma semana de antecedência o Flash Player utilizado por ele (coisa que a Google faz há 1 ano!). Usuários de todos os outros browsers terão que aguardar o patch da Adobe, e continuam vulneráveis a ataques cada vez mais comuns.
Mais info aqui: http://www.networkworld.com/news/2011/031611-google-first-to-patch-flash.html
[ 11/03/2011 - Update ]
E não foi por falta de incentivo.. Até mesmo porque o programa de recompensas pagou US $14000 a vários pesquisadores que encontraram vulnerabilidades e reportaram ao Google que teve tempo de corrigir antes do desafio..
O IE8 e o Safari já cairam, e o Firefox será testado hoje e tentará sobreviver pela 1a vez..
[ 11/03/2011 - Update ]
A notícia é "re-reciclada" (de 21/03/2009 e 08/06/2010) mas o título continua valendo. Pelo 3o ano consecutivo, o Chrome sobrevive ao desafio pwn2own.
E não foi por falta de incentivo.. Até mesmo porque o programa de recompensas pagou US $14000 a vários pesquisadores que encontraram vulnerabilidades e reportaram ao Google que teve tempo de corrigir antes do desafio..
Aliás, o programa de recompensas parece estar valendo a pena - além obviamente das proteções adicionais de segurança por design feitas pelo Google no Chrome - como o modelo de separação de memória (sandbox) por tabs e até de plugins problemáticos como o Flash...
O IE8 e o Safari já cairam, e o Firefox será testado hoje e tentará sobreviver pela 1a vez..
Mais informações aqui: http://idgnow.uol.com.br/seguranca/2011/03/10/chrome-sai-ileso-de-desafio-hacker-mas-ie8-e-safari-nao-resistem/
[ 08/06/2010 - Update ]
No Patch Tuesday de hoje, a Microsoft corrigiu 34 bugs, incluindo explorado por Peter Vreugdenhil durante o teste de segurança de browsers (PWN2OWN) de quase 3 meses atrás! (Aquele que "bypassou" DEP e ASLR ..) Se você por algum motivo obscuro ainda usa o IE, é hora de "patchear", antes tarde do que nunca...
Todo usuário de Windows precisa ficar esperto porque depois do Patch Tuesday vem o Exploit Wednesday.. Além do mais, neste Patch Tuesday a Microsoft corrigiu 13 vulnerabilidade com o índice "1 - Consistent exploit code likely"!
PS: Um bom overview dos patches foi feito pelo SANS Institute - acesse aqui.
[ 26/03/2010 - Update ]
A notícia é reciclada (veja o post original de 21/03/2009) mas o título continua valendo.
No Patch Tuesday de hoje, a Microsoft corrigiu 34 bugs, incluindo explorado por Peter Vreugdenhil durante o teste de segurança de browsers (PWN2OWN) de quase 3 meses atrás! (Aquele que "bypassou" DEP e ASLR ..) Se você por algum motivo obscuro ainda usa o IE, é hora de "patchear", antes tarde do que nunca...
Todo usuário de Windows precisa ficar esperto porque depois do Patch Tuesday vem o Exploit Wednesday.. Além do mais, neste Patch Tuesday a Microsoft corrigiu 13 vulnerabilidade com o índice "1 - Consistent exploit code likely"!
PS: Um bom overview dos patches foi feito pelo SANS Institute - acesse aqui.
[ 26/03/2010 - Update ]
A notícia é reciclada (veja o post original de 21/03/2009) mas o título continua valendo.
Motivo: o navegador Chrome mais uma vez foi o único browser a sobreviver ao desafio PWN2OWN 2010 na CanSecWest.
Nesta 4a edição do evento produzido pela Zero Day Initiative da 3Com/TippingPoint caíram (foram invadidos remotamente através de uma vulnerabilidade não patcheada ou 0-day) o Internet Explorer 8 (com bypass de DEP em Windows 7 64bit inclusive), o FireFox 3.6, o Safari, e o iPhone..
Resultado: mais força pro Google com o Chrome nas "Browsers Wars". Pois além das vantagens de performance ele vem mostrando superioridade em relação à segurança...
Mais informações sobre a PWN2OWN 2010:
[ 27/03/2009 - Update ]
A Mozilla saiu na frente dos demais browsers vulneráveis e lançou hoje a correção para a vulnerabilidade explorada no Firefox durante a conferência CanSecWest (veja post original abaixo).
[ 21/03/2009 - Post Original ]
Sabemos que grande parte das intrusões que ocorrem nos dia de hoje se devem à exploração de browsers e seus plugins. É comum haver algum debate sobre qual browser é mais seguro. Temos agora um teste prático para responder a esta pergunta.
A empresa de segurança TippingPoint possui um projeto chamado "Zero Day Initiative - ZDI" que paga pesquisadores independentes quando encontram vulnerabilidades críticas em softwares conhecidos e trabalham em correções juntamente com as empresas responsáveis.
Durante a Conferência CanSecWest deste ano, a ZDI estava desafiando (e pagando) qualquer um que conseguisse invadir máquinas de usuários completamente "patcheadas" (sistema operacional e navegadores), apenas com uma visita a uma página - eis o resultado do primeiro dia ( instalação default e sem plugins).
Seguem os resultados do desafio PWN2OWN:
Outro hacker (com pseudônimo "Nils") conseguiu invadir três browsers: IE8, Firefox e Safari.
Páginas relacionadas:
http://dvlabs.tippingpoint.com/blog/2009/02/25/pwn2own-2009
http://www.networkworld.com/news/2009/031909-researcher-hacks-just-launched.html
http://arstechnica.com/security/news/2009/03/chrome-is-the-only-browser-left-standing-in-pwn2own-contest.ars
http://blogs.zdnet.com/security/?p=2941
http://www.sci-tech-today.com/story.xhtml?story_id=65450
http://www.crkportugal.net/?p=224
A Mozilla saiu na frente dos demais browsers vulneráveis e lançou hoje a correção para a vulnerabilidade explorada no Firefox durante a conferência CanSecWest (veja post original abaixo).
[ 21/03/2009 - Post Original ]
Sabemos que grande parte das intrusões que ocorrem nos dia de hoje se devem à exploração de browsers e seus plugins. É comum haver algum debate sobre qual browser é mais seguro. Temos agora um teste prático para responder a esta pergunta.
A empresa de segurança TippingPoint possui um projeto chamado "Zero Day Initiative - ZDI" que paga pesquisadores independentes quando encontram vulnerabilidades críticas em softwares conhecidos e trabalham em correções juntamente com as empresas responsáveis.
Durante a Conferência CanSecWest deste ano, a ZDI estava desafiando (e pagando) qualquer um que conseguisse invadir máquinas de usuários completamente "patcheadas" (sistema operacional e navegadores), apenas com uma visita a uma página - eis o resultado do primeiro dia ( instalação default e sem plugins).
Seguem os resultados do desafio PWN2OWN:
Windows 7
- IE8 (recém lançado) - invadido
- Firefox - invadido
- Chrome - não foi invadido
Macintosh
- Safari - invadido (em 10 segundos)
- Firefox - invadido
Outro hacker (com pseudônimo "Nils") conseguiu invadir três browsers: IE8, Firefox e Safari.
Páginas relacionadas:
http://dvlabs.tippingpoint.com/blog/2009/02/25/pwn2own-2009
http://www.networkworld.com/news/2009/031909-researcher-hacks-just-launched.html
http://arstechnica.com/security/news/2009/03/chrome-is-the-only-browser-left-standing-in-pwn2own-contest.ars
http://blogs.zdnet.com/security/?p=2941
http://www.sci-tech-today.com/story.xhtml?story_id=65450
http://www.crkportugal.net/?p=224
eu uso o Chrome pela velocidade e segurança, mas os plugins do Firefox são melhores! legal o desafio entre os navegadores...
ReplyDeleteLuis Paulo Meirelles
O Chrome é o melhor navegador mesmo, só utilizo ele e o w3m em terminais linux. REcomendado!
ReplyDeleteotimo artigo sandro !saiu um artigo que uma empresa que diz saber como invadir o chrome segue o artigo abaixo
ReplyDeletehttp://idgnow.uol.com.br/seguranca/2011/05/09/empresa-sabe-como-invadir-chrome-mas-so-divulgara-codigo-a-clientes/