Vulnerabilidades en Google Chrome (IV)

Enviado por admin el 7. Septiembre 2008 - 10:09.

Según afirman los descubridores, con Windows XP SP2, cuando el usuario intenta guardar una página maliciosa con un título muy largo, se desborda el buffer de la pila y se ejecuta un programa sin avisar al usuario. En las demos se arranca la calculadora, pero según los autores se podría ejecutar cualquier código incluido en la propia página, por lo que el fallo puede considerarse crítico.

Como mi Windows tiene el SP3 eso no funciona, pero otra versión del exploit sí produce el cuelgue total e inmediato de Chrome, confirmando de nuevo que todas las pestañas abiertas pueden caer a la vez.

Según los descubridores, el fallo ha sido reconocido por Google y está siendo estudiado.

Referencias y demos:

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

No cree usted

Enviado por anónimo el 7. Septiembre 2008 - 11:24.

No cree usted que es un experimento de Google para que la misma gente busque y reporte sus vulnerabilidades...? Ya cuando tenga el repòrte suficiente ahora si a poner a funcionar bien.???

Me gusta tu idea

Enviado por anónimo el 7. Septiembre 2008 - 13:20.

Interesante lo que comentas. Se podría plantear un sistema en el que las organizaciones sueltan los productos cuando todavia no están completos, para que la gente los pruebe y puedan mejorarlo antes de la version definitiva.

Solo tenemos que buscar un nombre con gancho para que la gente adopte el sistema. No se... probamos con una letra griega? ;)

Bueeeeeeno

Enviado por anónimo el 7. Septiembre 2008 - 15:28.

Esa más o menos es la definición de "beta", características experimentales y obviamente con tropocientos bugs, que por alguna razón nunca habían sido noticia en ningún proyecto de código abierto, hasta ahora, que se les da un bombo y un platillo que a muchas versiones estables de muchos navegadores les gustaría.

Pues sí...

Enviado por anónimo el 7. Septiembre 2008 - 16:23.

Debe salir más barato eso que contratar a gente que sepa muuuucho de programación.

En algo sí estoy de acuerdo: existen errores de programación imposibles de predecir, no por incapacidad del programador, sino por errores del sistema operativo que permanecen sin arreglar. Me he encontrado más de uno en Windows que me fastidiaban los programas, y como no todos los PCs tienen los mismos parches, es para volverse loco.

versón 0.2.149.29 en en XP SP2

Enviado por anónimo el 7. Septiembre 2008 - 11:54.

Acabo de instalar Chrome en un XP SP2. La versión que me hainstalado es 0.2.149.29.

Al guardar el archivo del ejemplo del primer enlace me dice que el nombre del archivo no es válido y no abre la calculadora

Demasiado conocido el tema

Enviado por chema el 7. Septiembre 2008 - 14:42.

Demasiado conocido el tema de desbordamientos de buffer para no haberlo tenido en cuenta en algo tan esencial como la dirección URL.

Me parece que google juega con dos ases en la manga:

1 betatester gratis de alto nivel
2 Impacto mediático totalmente gratuito

Pagando el siguiente precio

Enviado por anónimo el 7. Septiembre 2008 - 16:45.

1 a tomar por culo su prestigio y su fama de prestadores de servicios aceptables y decentes por "otros chapuzas más estilo Redmond y con bastante jeta" (que igual es lo que buscan deliberadamente, ocultando su voracidad de mercaderes de datos y privacidad detrás de una fachada Pepe Gotera y Otilio, igualito que Redmond, habrá que pensar que es el nicho el que hace al órgano...)

2 que acabará remitiendo al punto 1, claro está. De todos modos, si Google hace un cuesquito bonito también tiene un impacto mediático superior a cualquier "catástrofe humanitaria". Esto repercute en la salud de la opinión pública occidental, que de rebote también les afecta, claro está

eso...

Enviado por anónimo el 7. Septiembre 2008 - 16:14.

eso es lo que hacen todos los programas...

desinstalación

Enviado por anónimo el 7. Septiembre 2008 - 16:58.

Al desinstalar el proceso "GoogleUpdate.exe" no se desinstala y sigue enviando información a Google, ¿lo consideramos Vulnerabilidad?

No

Enviado por anónimo el 7. Septiembre 2008 - 17:07.

No parece una vulnerabilidad, sino otro fallo (en principio no intencionado) más.

123siguientefinal

Opinar

Salvo circunstancias especiales LOS COMENTARIOS DE ESTE SITIO SERÁN MODERADOS.

Como norma general, en este sitio NO SE PUBLICARÁN aquellos comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales. Tampoco los que no se ajusten al tema, a la netiqueta, la ortografía o la educación, así como los comentarios ofensivos o claramente publicitarios, los que no aporten nada a la discusión o los que pretendan suplantar a terceras personas.

En cualquier caso los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable -incluso ante la Ley- de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Para poder enviar tus comentarios no necesitas ningún registro, pero has de permitir las cookies del sitio. Sólo si deseas disponer de un alias permanente has de registrarte.

Si no aceptas estas condiciones, por favor, absténte de participar en los debates. Muchas gracias

Kriptópolis, 21 de noviembre de 2008.

  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...

CAPTCHA
Esta prueba busca evitar la entrada de mensajes basura automatizados. Muchas gracias por tu colaboración.
1 + 1 =
Resuelve esta sencilla operación e introduce el resultado.