Investigadores descubren 11 Defectos de Peligro "Deep Security" en Chrome y Firefox | Hacking Ético 2.0
FanporFan

Investigadores descubren 11 Defectos de Peligro "Deep Security" en Chrome y Firefox

Los investigadores de Georgia Tech encontraron agujeros de seguridad en Chrome y Firefox

Investigadores del Instituto de Tecnología de Georgia Facultad de Informática han encontrado 11 fallos no habían sido descubiertos en dos de los navegadores más utilizados Chrome y Mozilla Firefox.

Los investigadores encontraron estos agujeros enterrado profundamente en el sistema a través de un nuevo método de análisis de la seguridad cibernética.

Por sus esfuerzos, fueron recompensados ​​con el Premio Defensa de Internet, un premio concedido por Facebook, en colaboración con USENIX, en el Simposio USENIX de Seguridad que puso fin a 24 de 14 de agosto.

Ph.D. estudiantes Byoungyoung Lee y Chengyu Song, con los profesores Taesoo Kim y Wenke Lee, de Georgia Tech recibió $ 100,000 de Facebook para continuar su investigación y aumentar su impacto para que Internet sea más seguro.

Su investigación, "Detención de un Ataque Emergentes Vector," explora vulnerabilidades en programas de C ++ (como Chrome y Firefox) que resultan de "mal casting" que permite a un atacante corromper la memoria en "tipo de confusión." un navegador de modo que sigue una lógica malicioso en lugar de las instrucciones adecuadas. Los investigadores desarrollaron una nueva herramienta, propietaria de detección llamado CAVER para capturarlos. CAVER es una herramienta de detección en tiempo de ejecución con un 7,6 por ciento - 64,6 por ciento por encima en el rendimiento del navegador (Chrome y Firefox, respectivamente).

Las 11 vulnerabilidades identificadas por Georgia Tech han sido confirmados por tanto Mozilla y Google y tanto los navegadores han sido parcheado.

"Es hora de que la comunidad de Internet sepa, los problemas de seguridad más profundas", dice Wenke Lee, profesor en la Escuela de Ciencias de la Computación y asesor del equipo. "La comunidad de investigación de seguridad ha estado trabajando en diferentes maneras de detectar y corregir errores de seguridad de la memoria durante décadas, y han avanzado en 'desbordamiento de pila" y bichos' desbordamiento del montón ', pero éstos se han convertido en problemas relativamente fáciles. Nuestro trabajo estudia los insectos mucho más duras y más profundos - en particular, el "uso después de liberación" y "mal de fundición" - y nuestras herramientas descubrió errores de seguridad graves en el software utilizado, como Firefox y libstdc ++. Estamos muy agradecidos a Facebook por este reconocimiento ".

Los investigadores desarrollaron una nueva herramienta, propietaria de detección llamado CAVER para capturarlos. CAVER es una herramienta de detección en tiempo de ejecución con el 7,6 por ciento a 64,6 por ciento por encima en tanto Chrome y el rendimiento de Firefox.

"La tecnología de seguridad defensiva Proyectos nunca ha sido más importante, y es por eso que estamos ofreciendo una vez más el Premio Defensa de Internet para estimular la investigación de alta calidad en esta área", dijo Ioannis Papagiannis, gerente de ingeniería de seguridad en Facebook. "Novedosa técnica del equipo de Georgia Tech para detectar mal tipo echa en programas en C ++ es el tipo de enfoque destacado queremos animar. Esperamos a ver lo que el equipo tiene al lado para crear un impacto más amplio y mejorar la seguridad en Internet ".
"Entrada galardonado de Georgia Tech ejemplifica la investigación de seguridad innovador que se ha convertido en una seña de identidad del Simposio USENIX de Seguridad", dijo Casey Henderson, director ejecutivo de la Asociación USENIX. "Su trabajo pionero se destacó entre las muchas presentaciones pendientes juzgados por el Comité de Premios de Seguridad USENIX y Facebook. Esperamos con interés su continuo progreso permitido por el Premio Defensa de Internet en el próximo año ".