c.m.g
11-05-2011, 10:32
martedì 10 maggio 2011
Scoperta un'insidiosa falla nella standard web che fornisce accelerazione grafica ai software di navigazione. E viene rivelato un clamoroso bug zero-day nel browser Google. Da confermare
Roma - Guai in arrivo per WebGL, lo standard promosso da Khronos Group (http://punto-informatico.it/3103247/PI/News/webgl-10-tre-dimensioni.aspx) che porta l'accelerazione hardware 3D sulle pagine web. Gli esperti di sicurezza hanno appena scoperto una insidiosa falla (http://www.geek.com/articles/chips/webgl-flaws-puts-chrome-and-firefox-users-at-serious-risk-2011059/) nella sua struttura che potrebbe essere usata anche per mettere al tappeto browser e sistema operativo.
Sfruttando la vulnerabilità della tecnologia usata da Firefox e Chrome, un malintenzionato potrebbe infatti infiltrarsi nel sistema dell'utente e mandare in tilt il computer, attaccando la GPU e i driver grafici. Del resto, come fanno notare gli esperti della Context, WebGL consente un accesso diretto al Kernel, nella parte più protetta del computer, ed è già stato sfruttato, in passato, per attacchi di tipo denial-of-service.
Crash a parte, la possibilità di colpire con un malware il chip grafico di una scheda video potrebbe addirittura mettere a rischio i contenuti che vengono visualizzati sul monitor. In teoria, tutte le informazioni sensibili dei naviganti infettati potrebbero essere esposte ad occhi indiscreti. In attesa di una risposta da Khronos, Context (http://www.contextis.co.uk/resources/blog/webgl/poc/index.html) consiglia la disattivazione di WebGL nel proprio browser.
Nel frattempo, l'azienda di sicurezza francese Vupen (http://go.theregister.com/feed/www.theregister.co.uk/2011/05/09/google_chrome_pwned/) ha dichiarato di aver scoperto un clamoroso bug zero-day in Chrome e ha dimostrato di essere riuscita a superare i collaudati sistemi di sicurezza del browser, tra ASLR, DEP e sandbox. Per documentare l'efficacia e la stabilità dell'exploit, effettuabile su tutte le versioni di Windows a 32 e 64 bit, Vupen ha anche realizzato un apposito filmato. Il colosso di Mountain View sta indagando su queste affermazioni e non ha ancora confermato il problema.
Roberto Pulito
Fonte: Punto Informatico (http://punto-informatico.it/3156395/PI/News/sicurezza-allarme-webgl-allerta-chrome.aspx)
Scoperta un'insidiosa falla nella standard web che fornisce accelerazione grafica ai software di navigazione. E viene rivelato un clamoroso bug zero-day nel browser Google. Da confermare
Roma - Guai in arrivo per WebGL, lo standard promosso da Khronos Group (http://punto-informatico.it/3103247/PI/News/webgl-10-tre-dimensioni.aspx) che porta l'accelerazione hardware 3D sulle pagine web. Gli esperti di sicurezza hanno appena scoperto una insidiosa falla (http://www.geek.com/articles/chips/webgl-flaws-puts-chrome-and-firefox-users-at-serious-risk-2011059/) nella sua struttura che potrebbe essere usata anche per mettere al tappeto browser e sistema operativo.
Sfruttando la vulnerabilità della tecnologia usata da Firefox e Chrome, un malintenzionato potrebbe infatti infiltrarsi nel sistema dell'utente e mandare in tilt il computer, attaccando la GPU e i driver grafici. Del resto, come fanno notare gli esperti della Context, WebGL consente un accesso diretto al Kernel, nella parte più protetta del computer, ed è già stato sfruttato, in passato, per attacchi di tipo denial-of-service.
Crash a parte, la possibilità di colpire con un malware il chip grafico di una scheda video potrebbe addirittura mettere a rischio i contenuti che vengono visualizzati sul monitor. In teoria, tutte le informazioni sensibili dei naviganti infettati potrebbero essere esposte ad occhi indiscreti. In attesa di una risposta da Khronos, Context (http://www.contextis.co.uk/resources/blog/webgl/poc/index.html) consiglia la disattivazione di WebGL nel proprio browser.
Nel frattempo, l'azienda di sicurezza francese Vupen (http://go.theregister.com/feed/www.theregister.co.uk/2011/05/09/google_chrome_pwned/) ha dichiarato di aver scoperto un clamoroso bug zero-day in Chrome e ha dimostrato di essere riuscita a superare i collaudati sistemi di sicurezza del browser, tra ASLR, DEP e sandbox. Per documentare l'efficacia e la stabilità dell'exploit, effettuabile su tutte le versioni di Windows a 32 e 64 bit, Vupen ha anche realizzato un apposito filmato. Il colosso di Mountain View sta indagando su queste affermazioni e non ha ancora confermato il problema.
Roberto Pulito
Fonte: Punto Informatico (http://punto-informatico.it/3156395/PI/News/sicurezza-allarme-webgl-allerta-chrome.aspx)