Ads 468x60px

Labels

Labels

20 de abr de 2011

política da Microsoft, a vulnerabilidade de divulgação começa com duas falhas do Chrome



Microsoft deu início a um novo programa na terça-feira, o responsável pela descoberta, relatórios e coordenação de vulnerabilidades em produtos de terceiros e serviços.

A Microsoft Vulnerability Research MSVR) programa ( lançado na terça-feira com duas vulnerabilidades do Google Chrome. A Microsoft tem uma mistura de história com o Google sobre a divulgação da vulnerabilidade responsável. A Microsoft divulgou um alerta de segurança em junho do ano passado, alertando para uma vulnerabilidade não corrigida no Windows ajuda e função Support Center no Windows XP. pesquisador sênior de segurança do Google,Tavis Ormandy, notificou a Microsoft sobre a falha no início de junho. Dias depois Ormandy publicado código de verificação de conceito, dizendo que "sem um trabalho explorar, eu teria sido ignorado." Os ataques de trabalho viu aumentar rapidamente ea Microsoft afirmou que o movimento dos trabalhadores do Google colocar os clientes em risco.
O programa da Microsoft MSVR nova optou por destacar duas vulnerabilidades do Google Chrome para lançar o programa. A Microsoft deixou claro que a empresa tem conversado com representantes do Google antes de divulgar publicamente as falhas. relatórios Network World que o Google já consertou os erros que a Microsoft está divulgando. Um porta-voz do Google disse à Network World que "estas questões são realmente muito velho" e estavam cobertas de anúncios do Google em setembro e dezembro .
A primeira falha ( MSVR11-001 ) pode permitir execução remota de código no modo seguro dentro do Google Chrome, segundo a Microsoft. "A vulnerabilidade de execução remota de código no modo seguro na maneira que o Google Chrome tentativas de memória de referência que foi libertado", disse a Microsoft. "Um invasor pode explorar a vulnerabilidade para fazer com que o navegador fique sem resposta e / ou saída inesperada, permitindo que um invasor execute código arbitrário no Chrome do Google Sandbox. O Google Chrome Sandbox é ler e escrever isolado do sistema de arquivos local, que limita um atacante. "
A segunda falha ( MSVR11-002 ) afeta versões do navegador Google Chrome 8.0.552.210 e anteriores, e versões do navegador Opera 10,62 e anteriores. "A implementação HTML5 no Chrome e Opera pode permitir a divulgação de informações", diz a Microsoft. "Uma vulnerabilidade de divulgação de informações existentes na aplicação do HTML5 nesses navegadores Web [Chrome e Opera]", disse a Microsoft. "Especificamente, como a World Wide Web Consortium (W3C), descreve na especificação HTML5 de segurança com elementos de tela, o vazamento de informações pode ocorrer se os scripts de uma origem pode acessar informações a partir de outra origem."
Apesar das vulnerabilidades de idade, parece a Microsoft estará usando esta nova plataforma para desvendar os seus esforços de segurança própria para softwares não-Microsoft. Google e Opera são os primeiros alvos do programa de divulgação da Microsoft, mas dado o tempo incômoda Adobe Flash com as vulnerabilidades, é apenas uma questão de tempo antes que ele faz uma aparição.

0 comentários:

Postar um comentário

CÓDIGO DO LINKWITHIN