EnfoqueSeguro » Chrome

Chrome Frame crea brecha de seguridad en el IE

JAS — Fri, 20 Nov 2009 13:00:31 +0000

Navegando en búsqueda de brechas en los sistemas de seguridad encontramos un dato para quienes están utilizando el IE con el plug-in de Google, el Chrome Frame. Bien el asunto mejor explicado, después del salto…Por allá por septiembre, cuando Google lanzó el plug-in Google Chrome Frame para Internet Explorer, Microsoft emitió una advertencia de inmediato en donde explicaba que la instalación de ésteincrementaría los ataques superficiales y reduciría la seguridad de los usuarios de Internet Explorer.

Ahora la cosa es más enfática, un investigador de seguridad del Micrososft Vulnerability Reasearch, descubrió un alto grado de vulnerabilidad que podría permitir a los delincuentes hacer un bypass de las protecciones cruzadas origina

Enfoque Seguro

Vía: Slashdot

[INGLÉS] La Seguridad en Chrome OS

JAS — Fri, 20 Nov 2009 11:30:58 +0000

Pinche aquí para ver el vídeo

Con el público emocionado con el advenimiento del sistema operatio de Google el Chrome OS, una de las primeras preocupaciones es la seguridad, pero dejemos que sea Will Dewry, Ingeniero de Seguridad de Google, nos explique cómo funcionará la seguridad en el nuevo software (así tendremos un punto de partida al momento de probarlo por primera vez).

Advertencia: el contenido está en Inglés.

Error en Chrome y Opera permiten ataque remoto

JAS — Fri, 18 Sep 2009 16:10:57 +0000

El portal Hispasec refleja que existe un error en el sistema de análisis de contenido de los navegadores Opera y Google Chrome. Un atacante remoto podría explotar esto para ejecutar código JavaScript arbitrario a través de un enlace que devuelva un “mime type” del tipo “text/xml”, “text/atom-xml” o “text/rss-xml” con JavaScript incrustado. Estos navegadores lo procesarían sin motivo.

El sistema de análisis de contenido de un navegador web debería comprobar qué tipo de datos son los que va a mostrar y activar o desactivar ciertas funcionalidades dependiendo del tipo; por ejemplo, no tendría sentido que un navegador ejecutara código JavaScript si accede a un fichero cuyo “mime type” en el servidor es “image/jpeg”, puesto que en teoría, no debería existir ningún tipo de código JavaScript en un fichero de ese formato.

Google ya ha solucionado esta vulnerabilidad y ha publicado un parche para su versión 3 que se puede aplicar desde el propio Chrome.

En este momento Opera no ha actualizado ni notificado oficialmente esta vulnerabilidad en su sitio oficial, pero al parecer su equipo de desarrollo y seguridad están trabajando para solucionar este problema.

Haz clic en los siguientes vínculos para mayor información:

Prueba de concepto

Advisory de Chrome

Sitio de Advisories de Opera

Enfoque Seguro

VÍA: Hispasec

Desarrollada darknet basada en el navegador

JAS — Wed, 29 Jul 2009 19:37:11 +0000

El BlackHat USA 2009 será el escenario donde dos investigadores de Hewlett-Packard mostrarán la creación de una darknet basada en el navegador, algo que podría hacer más fácil para los negocios la protección de información confidencial de aquellos imprudentes que buscan filtrarla públicamente.

Una darknet es una red Peer2Peer (P2P) que se utiliza para compartir información en un cerrado grupo de personas. La mayoría de las darknets actuales requieren un elevado conocimiento informático para ser desarrolladas y mantenidas, incluyendo el cuidado de los servidores necesarios. Sin embargo, los investigadores de HP, Billy Hoffman y Matt Wood mostrarán en la conferencia de seguridad BlackHat USA 2009 una darknet que desarrollaron pero basada en el navegador web, a la cual bautizaron “Veiled”. Así pues este desarrollo a diferencia de las otras darknet, “Veiled” necesitará sólo el conocimiento básico en informática para ser armada y mantenida.

El desarrollo de Veiled sólo ha sido posible, según sus propios creadores gracias al potencial de las tecnologías que se están utilizando en la creación de los nuevos navegadores. Esta vez la guerra de los navegadores sí está dejando efectos positivos dentro de la comunidad de usuarios.

Este desarrollo puede impactar positivamente las formas de compartir información delicada en Internet, ya que los niveles de seguridad de las darknets son mucho más elevados que los sistemas peer2peer más convencionales. Además, mantienen la puerta cerrada a virus y spyware, los malware que han hecho de los P2P común su forma ideal de propagación. Wood comenta que los navegadores con soporte HTML 5, como la más reciente versión de Firefox, Safari e Internet Explorer, permiten que los ficheros se almacenen “persistentemente” en el cliente, para poder trabajar cuando se está offline. Esta característica, sumada con la grid-computing propia de las darknet, significa que los archivos pueden ser subidos constantemente, aún cuando el navegador haya sido cerrado.

Asimismo, los motores JavaScrip de los navegadores como el Chrome V8 de Google o el TraceMonkey de Mozilla, ayudaron en gran medida a convertir las darknets tipo web en realidad. Esos motores permiten comunicaciones basadas en web, las que pueden ser armadas y encriptadas rápidamente.

Veiled utiliza el sistema de encriptación público RSA, pero cualquier sistema de encriptación funcionaría.