Início » Internet » Engenheiros do Google dizem que sandbox do Chrome não é vulnerável

Engenheiros do Google dizem que sandbox do Chrome não é vulnerável

Avatar Por

No começo da semana uma empresa de segurança francesa chamada Vulpen Security alegou que havia encontrado uma vulnerabilidade na sandbox do Chrome, um dos itens que fazem do navegador do Google um dos mais seguros atualmente. A falha, segundo eles, é consideravelmente séria, com potencial para permitir o download de arquivos maliciosos. Mas segundo uma dupla de engenheiros do Google, a alegação não passa de uma prosopopeia flácida para acalentar bovinos. E sim, estou parafraseando.

Tavis Ormandy e Chris Evans, ambos engenheiros de segurança do Google, afirmaram nos seus respectivos perfis no Twitter que a Vulpen usou uma vulnerabilidade encontrada no Flash para fazer a sandbox do Chrome falhar, o que então deu origem a uma polêmica. A falha usada para quebrar a sandbox do Chrome está no plugin do Adobe Flash. Porém, o Flash está embutido em todas as instalações do Chrome atualmente.

Então isso quer dizer que, por transitividade, o Chrome é vulnerável? Ou por causa da falha estar especificamente no plugin da Adobe, o navegador do Google ainda pode ser considerado um navegador seguro? A Vulpen parece achar que sim, mas o Google insiste que não.

E vale lembrar que nenhuma das empresas liberou publicamente uma demonstração da vulnerabilidade e ninguém descobriu como explorá-la. Ao menos não ainda.

Com informações: Slashdot.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

luis humberto
Nem todos os programadores de Flash sabem como programar a mesma coisa em HTML5. E alguns recursos do Flash não estão disponíveis ainda em HTML5, obrigando o programador a manter tudo em Flash.
Rafae
"Então isso quer dizer que, por transitividade, o Chrome é vulnerável? Ou por causa da falha estar especificamente no plugin da Adobe, o navegador do Google ainda pode ser considerado um navegador seguro? A Vupen parece achar que sim, mas o Google insiste que não. "

Parecia estar respondendo a última pergunta, e no caso seria o contrário. Vupen - não; Google - sim.
Ficou confuso
Turdin
Claro que é falha do navegador, ainda mais atualmente que vem incluido!
@Masterwebinter
Fico imaginando a Troll Face do Steve Jobs nesses momentos...
Ramon Melo
Eu concordo, mas em partes. As motivações do Steve Jobs são de ordem econômica: é mais lucrativo para a Apple bloquear o Flash, assim os desenvolvedores podem vender seus apps de 1 dólar (US$0,30 para a Apple) sem a concorrência de todo um legado que o Flash já usou.

Particularmente, eu detesto o Flash, mas ainda não inventaram um substituto para ele. Fala-se muito em HTML5, mas é um padrão que ainda não pegou. A navegação fica muito prejudicada sem o Flash, porque muitos sites ainda são feitos completamente em Flash, especialmente os hotsites publicitários, ou usam recursos em Flash, como vídeos, players de músicas, exibição de documentos e fotos e recursos interativos.

Conclusão: ruim com Flash, pior sem Flash.
@QG10g
Sabe... eu acho estranho esse povo que até hoje usa flash pra tudo.
Mas acho estranho... agora que você falou isso o problema é com a Google ou com a Adobe?
Se for com a Google ela está com contradição.
Caio Furtado
Steve Jobs deve estar com um belo sorriso no rosto.
Alexandre
O google tem todo o direito de se defender, mas da maneira que fizeram, isso nao eh legal. Tipo, usaram argumentos juridicos. Na pratica, tem o raio da vulnerabilidade sim! Entao ou eles que tirem o flash do amago do chrome ou o flash arruma a k-h-da
Paulo Freitas
Sandbox para plugin já existe. Até no Firefox. -.-
A questão é que uma falha na sandbox permitiu explorar a falha no plugin.
Cl0ckW153
Morte ao Flash! Viva o HTML5!
@QG10g
... como fazer uma sandbox para um plugin?
MATEM A ADOBE, não a GOOGLE...
e vamos botar um fim nesse povo que só faz sites que TEM que ter flash!
._. i hate flash... crashes my pc
Paulo Freitas
Pelo histórico de falhas do Flash, é bem provável que ele tenha sua parcela de culpa. Não que a culpa toda seja dele. :P
Daniel Luiz
Olha cara, pra nao usar o flash, vc tem que saber configurar a camera... nassssss
Janderson (jan_lord)
Papinho...
@QG10g
Façam igual eu:
about:plugins > desative o flash > todo mundo morre ao seu lado e você sobrevive.

tá... eu só faço isso no chrome canary e não no que eu uso todos os dias, é quase impossível viver sem flash hoje em dia, quando o grooveshark vai ser 100% html5 ¬¬
berg
agora entendo porque papai steve não deixa seus filhos brincarem com o flash!
Denis
E quem garante que o problema está no Flash ? Essa é a versão do Google.
Denis
Poxa Google arruma essa falha ai e aceite que o Chrome não é perfeito.
Phillipe Xadai
De fato. Não importa a ordem dos fatores, se através do Flash embutido o Sandbox pode ser quebrado, significa que o sandbox não é invulnerável. Não pode é ficar nessa de dizer que a culpa é de outro...
Erick
Já que o Google fez o acordo pra embutir o Flash no Chrome, agora é sim problema dele. Mas também é problema de todos os outros (exceto os que não instalam plugins de flash).
e.ricardo
Agora vai ficar um jogando a culpa para cima do outro e não vão corrigir o bug só o que faltava mesmo !
Cash
Bom, eu já bloqueio o flash por padrão e só uso em pouquíssimos sites, então essa vulnerabilidade não é tão preocupante assim pra mim...

Mas que a Google tem que ver isso, tem. Flash ainda é largamente utilizado, infelizmente.
Guilherme Mac
De acordo com o governo da China, lá não existem atentados contra os direitos humanos praticados pelo Estado.
Kadu
Desculpa esfarrapada do Google. Até faz sentido, mas ninguém mandou incluir o Flash nativamente no navegador. Agora aceitem as consequências.
@_NandoHenrique
Só eu que estou usando a versão 12.0.742.30 beta-m do google chrome? =O
@feeamarante
blz existe, mas agora quero ver achar =)
@trovalds
Steve Jobs é que tá certo nisso tudo. Flash só serve pra atrapalhar. E taí o resultado. Enquanto isso, quando dá, gambiarra mode aqui pra (tentar) não usar o Flash (quando possível).
Rodrigo Soncin
A Sony também dizia que a chave de criptografia do PlayStation 3 era incraqueável...
RKNeto
A + B = Chrome vulnerável.
Seja na sandbox, ou no flash plugin, a vulnerabilidade existe.