Roberto Pulito

Sicurezza, allarme WebGL e allerta Chrome

Scoperta un'insidiosa falla nella standard web che fornisce accelerazione grafica ai software di navigazione. E viene rivelato un clamoroso bug zero-day nel browser Google. Da confermare

Roma - Guai in arrivo per WebGL, lo standard promosso da Khronos Group che porta l'accelerazione hardware 3D sulle pagine web. Gli esperti di sicurezza hanno appena scoperto una insidiosa falla nella sua struttura che potrebbe essere usata anche per mettere al tappeto browser e sistema operativo.

Sfruttando la vulnerabilità della tecnologia usata da Firefox e Chrome, un malintenzionato potrebbe infatti infiltrarsi nel sistema dell'utente e mandare in tilt il computer, attaccando la GPU e i driver grafici. Del resto, come fanno notare gli esperti della Context, WebGL consente un accesso diretto al Kernel, nella parte più protetta del computer, ed è già stato sfruttato, in passato, per attacchi di tipo denial-of-service.

Crash a parte, la possibilità di colpire con un malware il chip grafico di una scheda video potrebbe addirittura mettere a rischio i contenuti che vengono visualizzati sul monitor. In teoria, tutte le informazioni sensibili dei naviganti infettati potrebbero essere esposte ad occhi indiscreti. In attesa di una risposta da Khronos, Context consiglia la disattivazione di WebGL nel proprio browser.
Nel frattempo, l'azienda di sicurezza francese Vupen ha dichiarato di aver scoperto un clamoroso bug zero-day in Chrome e ha dimostrato di essere riuscita a superare i collaudati sistemi di sicurezza del browser, tra ASLR, DEP e sandbox. Per documentare l'efficacia e la stabilità dell'exploit, effettuabile su tutte le versioni di Windows a 32 e 64 bit, Vupen ha anche realizzato un apposito filmato. Il colosso di Mountain View sta indagando su queste affermazioni e non ha ancora confermato il problema.

Roberto Pulito
Notizie collegate
  • SicurezzaGoogle insegna: exploit e sicurezzaMountain View mette online un sito pieno di bug. Con l'obiettivo di formare gli sviluppatori. E porre il problema del buon codice sicuro come una priorità, senza che nessuno si faccia male
  • TecnologiaWebGL 1.0, in tre dimensioniKhronos Group rilascia le nuove specifiche per lo standard che ha messo a punto. L'accelerazione hardware 3D arriva nelle pagine web, senza bisogno di plug-in
  • SicurezzaUn Chrome da battagliaI tecnici Google rinforzano la nona versione del browser con un aggiornamento tattico, prima che inizino gli agoni dell'hacking
83 Commenti alla Notizia Sicurezza, allarme WebGL e allerta Chrome
Ordina
  • - Scritto da: Fiber
    > guadagno quello che non ha
    > mai guadagnatu tu..
    Certo certo. Lo sappiamo. Tu sei una persona competente che lavora nel ramo IT.

    > non ti devi preoccupare ...
    > pesa al tuo pane ed alla tua acqua free
    Già. Per esiste già l'asilo nido che ti assiste.
    -----------------------------------------------------------
    Modificato dall' autore il 13 maggio 2011 13.59
    -----------------------------------------------------------
    Darwin
    5126
  • A quanto sembra il bug è su Webgl "in generale", quindi a rischio ci sono anche gli altri browser che lo supportano (Firefox, Safari, Opera forse ,non so).

    Inoltre, stamattina provo chrome e il webgl è stato DISATTTIVATO!!!!
    Confermate anche voi che su Chrome il webgl è stato disattivato automaticamente?
    non+autenticato
  • - Scritto da: hermanhesse
    > Inoltre, stamattina provo chrome e il webgl è
    > stato
    > DISATTTIVATO!!!!
    > Confermate anche voi che su Chrome il webgl è
    > stato disattivato
    > automaticamente?
    Io uso Chromium, quindi non credo sia stato disattivato automaticamente.
    Darwin
    5126
  • Non ho verificato su chromium (non ho desktop linux in azienda con questo browser).

    Fatto sta che, a quanto sembra, mentre prima era abilitata di default, ora non lo è più...
    Sulla rete non trovo info rispetto a questa "disattivazione"...
    non+autenticato
  • - Scritto da: hermanhesse
    > Non ho verificato su chromium (non ho desktop
    > linux in azienda con questo
    > browser).
    >
    > Fatto sta che, a quanto sembra, mentre prima era
    > abilitata di default, ora non lo è
    > più...
    > Sulla rete non trovo info rispetto a questa
    > "disattivazione"...
    Guarda se non ricordo male, Chromium non abilita di default WebGL.
    Per usare quel componente dovrei avviare il browser in questo modo
    $ chromium --enable-webgl

    Ovviamente parlo in relazione ad una macchina linux.
    Darwin
    5126
  • Non credo che investa anche altri browser.
    Comunque le versioni affette sembrano essere la 11x e la 12x.

    Nel caso passa a Chromium 13, per sicurezza.
    Darwin
    5126
  • Non è la prima volta che la ProtectMode di Chrome è soggetta a vulnerabilità, sono state corrette diverse falle riguardanti essa nel ciclo di update di Chrome, la differenza è che adesso la falla è saltata fuori prima di una possibile risoluzione.
  • Ripropongo la domanda che mi è stata eliminata dalla Redazione (vai a capire il motivo...!):
    come faccio a disattivare WebGL su Chrome e Firefox? Qualcuno sa darmi una mano?
    Grazie Sorride
    non+autenticato
  • Gentilissimo! Grazie!
    non+autenticato
  • Fosse stato IE, almeno 300 commenti.
    Questo sito è pieno zeppo di Linari folli comunisti e 4 o 5 Meloni.
    Che ambiente ricreativo!
    non+autenticato
  • - Scritto da: Ricky
    > Fosse stato IE, almeno 300 commenti.
    > Questo sito è pieno zeppo di Linari folli
    > comunisti e 4 o 5
    > Meloni.
    > Che ambiente ricreativo!

    Dall' articolo si evince verso la fine (come sempre articoli incompleti o poco chiari) che il problema si manifesta sul noto sistema nervoso di casa redmond... quindi a noi linari non ce ne importa una pippa. condoglianze.
    non+autenticato
  • - Scritto da: gordo
    > - Scritto da: Ricky
    > > Fosse stato IE, almeno 300 commenti.
    > > Questo sito è pieno zeppo di Linari folli
    > > comunisti e 4 o 5
    > > Meloni.
    > > Che ambiente ricreativo!
    >
    > Dall' articolo si evince verso la fine (come
    > sempre articoli incompleti o poco chiari) che il
    > problema si manifesta sul noto sistema nervoso di
    > casa redmond... quindi a noi linari non ce ne
    > importa una pippa.
    > condoglianze.

    primo la societa' di sicurezza Vupen ha compilato un exploit per sfruttare la vulnerabilita' di Chrome su Windows ( da referenziare a Google) ..ma il browsr e' vulnerabile su tutti i sistemi operativi

    per fare solo un esempio quando Adobe aggiorna, aggiorna perche' il suo software e' vulnerabile su tutte le piattaforme non solo su Windows..idem Mozilla etc

    svegliatevi che il lavaggio mentale che avete e' patetico all'ennesima potenza

    avrete si e no 12 anni con cultura informatica che sta sottozero o meglio sottoterra
    -----------------------------------------------------------
    Modificato dall' autore il 10 maggio 2011 21.52
    -----------------------------------------------------------
    Fiber
    3605
  • - Scritto da: Fiber
    >
    > svegliatevi che il lavaggio mentale che avete e'
    > patetico all'ennesima potenza
    >
    > avrete si e no 12 anni con cultura informatica
    > che sta sottozero o meglio sottoterra.

    La stessa cosa che ho pensato di Ricky leggendo il suo precedente commento.
    non+autenticato
  • - Scritto da: Fiber
    > primo la societa' di sicurezza Vupen ha
    > compilato un exploit per sfruttare la
    > vulnerabilita' di Chrome su Windows ( da
    > referenziare a Google) ..ma il browsr e'
    > vulnerabile su tutti i sistemi
    > operativi

    Non necessariamente dipenda da ciò che sfrutta la vulnerabilità, oltre i differenti strati di protezione tra un SO e l'altro.

    > per fare solo un esempio quando Adobe aggiorna,
    > aggiorna perche' il suo software e' vulnerabile
    > su tutte le piattaforme non solo su Windows..idem
    > Mozilla
    > etc

    Esempio sbagliato, se controlli i vari ChangeLog, trovi che ad ogni update, vi sono molte correzioni che riguardano un determinato sistema più tosto che un altro, accade con Opera, Firefox, Chrome, VLC con tutti quei software multipiattaforma, vi possono essere delle vulnerabilità condivise che vengono corrette su tutte le piattaforma, ma non è una regola come credi tu, oltre tutto bisogna verificare che il relativo exploit sia funzionante su tutte le piattaforme, in genere viene scritto sempre per il SO più diffuso(Windows) e come ti dicevo prima bisogna tener conto dei sistemi di protezione del SO in questione (escludendo software per la sicurezza).
    -----------------------------------------------------------
    Modificato dall' autore il 11 maggio 2011 11.32
    -----------------------------------------------------------
  • Ma quanto é "piu' tosto" Windows ?! Occhiolino
    non+autenticato
  • - Scritto da: Fiber
    > primo la societa' di sicurezza Vupen ha
    > compilato un exploit per sfruttare la
    > vulnerabilita' di Chrome su Windows ( da
    > referenziare a Google) ..ma il browsr e'
    > vulnerabile su tutti i sistemi
    > operativi
    >
    > per fare solo un esempio quando Adobe aggiorna,
    > aggiorna perche' il suo software e' vulnerabile
    > su tutte le piattaforme non solo su Windows..idem
    > Mozilla
    > etc
    >
    > svegliatevi che il lavaggio mentale che avete e'
    > patetico all'ennesima
    > potenza
    >
    > avrete si e no 12 anni con cultura informatica
    > che sta sottozero o meglio
    > sottoterra
    > --------------------------------------------------
    > Modificato dall' autore il 10 maggio 2011 21.52
    > --------------------------------------------------

    Cioè, scusa. Tu pensi che un programma multipiattaforma buggato sia obbligatoriamente un problema su tutte le piattaforme su cui gira e poi ti atteggi pure ad esperto informatico? No, veramente, erano anni che non vedevo un FAIL come questo.
    Shiba
    4103
  • - Scritto da: Shiba
    > - Scritto da: Fiber
    > > primo la societa' di sicurezza Vupen ha
    > > compilato un exploit per sfruttare la
    > > vulnerabilita' di Chrome su Windows ( da
    > > referenziare a Google) ..ma il browsr e'
    > > vulnerabile su tutti i sistemi operativi

    > > per fare solo un esempio quando Adobe
    > > aggiorna, aggiorna perche' il suo software
    > > e' vulnerabile su tutte le piattaforme non
    > > solo su Windows..idem Mozilla etc

    > > svegliatevi che il lavaggio mentale che
    > > avete e' patetico all'ennesima
    > > potenza

    > > avrete si e no 12 anni con cultura informatica
    > > che sta sottozero o meglio sottoterra

    > --------------------------------------------------
    > > Modificato dall' autore il 10 maggio 2011 21.52
    > >
    > --------------------------------------------------

    > Cioè, scusa. Tu pensi che un programma
    > multipiattaforma buggato sia obbligatoriamente un
    > problema su tutte le piattaforme su cui gira e
    > poi ti atteggi pure ad esperto informatico? No,
    > veramente, erano anni che non vedevo un FAIL come
    > questo.

    Come ? Non leggi i suoi messaggi ? FAIL epici come queste ne ha scritti a iosa Rotola dal ridereRotola dal ridereRotola dal ridere
    krane
    22544
  • - Scritto da: krane
    > Come ? Non leggi i suoi messaggi ? FAIL epici
    > come queste ne ha scritti a iosa
    > Rotola dal ridereRotola dal ridereRotola dal ridere

    Dai, parlando seriamente: l'avatar però è bello Rotola dal ridere
    Shiba
    4103
  • - Scritto da: Shiba
    > - Scritto da: krane
    > > Come ? Non leggi i suoi messaggi ? FAIL epici
    > > come queste ne ha scritti a iosa
    > > Rotola dal ridereRotola dal ridereRotola dal ridere

    > Dai, parlando seriamente: l'avatar però è bello
    > Rotola dal ridere

    Voci dicono che sia quello che vede durante i freguenti elettroshock; sono voci affidabili, le ho messe in giro ioOcchiolino
    krane
    22544
  • - Scritto da: Shiba
    > - Scritto da: Fiber
    > > primo la societa' di sicurezza Vupen ha
    > > compilato un exploit per sfruttare la
    > > vulnerabilita' di Chrome su Windows ( da
    > > referenziare a Google) ..ma il browsr e'
    > > vulnerabile su tutti i sistemi
    > > operativi
    > >
    > > per fare solo un esempio quando Adobe aggiorna,
    > > aggiorna perche' il suo software e' vulnerabile
    > > su tutte le piattaforme non solo su
    > Windows..idem
    > > Mozilla
    > > etc
    > >
    > > svegliatevi che il lavaggio mentale che avete e'
    > > patetico all'ennesima
    > > potenza
    > >
    > > avrete si e no 12 anni con cultura informatica
    > > che sta sottozero o meglio
    > > sottoterra
    > >
    > --------------------------------------------------
    > > Modificato dall' autore il 10 maggio 2011 21.52
    > >
    > --------------------------------------------------
    >
    > Cioè, scusa. Tu pensi che un programma
    > multipiattaforma buggato sia obbligatoriamente un
    > problema su tutte le piattaforme su cui gira e
    > poi ti atteggi pure ad esperto informatico? No,
    > veramente, erano anni che non vedevo un FAIL come
    > questo.


    basta che leggi i security report di Adobe o Mozilla etc etc

    lo sai cosa sono i security report?

    nel 95% dei casi i loro software quando hanno una vulnerabilita' la stessa e' presente per poter essere fruttata su tutti i sistemi

    dove vivete tu e l'altro fanboy Krane ?

    state sul pianeta Terra non su Titano ..aggiornatevi
    -----------------------------------------------------------
    Modificato dall' autore il 12 maggio 2011 16.06
    -----------------------------------------------------------
    Fiber
    3605
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)