Proponha uma correção, faça uma sugestão
Google Chrome com grave falha de segurança…
... que permite correr aplicações dentro da Sandbox
O Chrome sempre foi conotado como um browser seguro e difícil de quebrar. A própria Google faz mostrar a sua confiança no seu browser ao promover e pagar a todos os que acharem uma falha grave no Chrome. Até agora tem sido tudo muito calmo para este browser e tem inclusive escapado incólume nos ataques que tem sido alvo em eventos como, por exemplo, o Pwn2Own. A Google chegou a oferecer 20 mil dólares a quem conseguisse quebrar o Chrome no evento deste ano, mas ninguém levou o dinheiro para casa.
Essa invencibilidade parece ter sido agora quebrada, segundo anunciou e mostrou a empresa francesa Vupen. Segundo o que foi anunciado, foi possível quebrar os mecanismos de sandbox do Chrome e executar código arbitrário.
A Vupen apresentou este feito no seu blog e publicou também um vídeo que mostra de forma clara o processo em que conseguiram que o Chrome descarregasse uma aplicação da internet, neste caso uma versão alterada da calculadora do Windows e a executasse fora da sua sandbox. De salientar que para além da protecção do Chrome, foi conseguida a proeza de quebrar os mecanismos de ASLR (address space layout randomization) e DEP (data execution prevention) do próprio Windows 7, que deveriam assegurar a segurança do sistema operativo e prevenir estas situações.
A versão do Chrome que foi usada para demostrar esta falha foi a versão 11.0.696.65 e corria sobre um Windows 7 de 64 bits. Segundo a Vupen este problema afecta todas as versões do Windows, quer sejam de 32 ou 64 bits.
The exploit shown in this video is one of the most sophisticated codes we have seen and created so far as it bypasses all security features including ASLR/DEP/Sandbox (and without exploiting a Windows kernel vulnerability), it is silent (no crash after executing the payload), it relies on undisclosed (0day) vulnerabilities discovered by VUPEN and it works on all Windows systems (32-bit and x64).
O ataque é conseguido quando um utilizador acede a um determinado site, que contêm o código malicioso. A sua execução é completamente silenciosa e passa despercebida ao utilizador. O browser não sofre qualquer quebra ou crash. No exemplo foi usada uma versão da calculadora do Windows, mas numa situação real e maliciosa, pode ser usado qualquer código que fará estragos muito maiores ao sistema operativo do utilizador.
A Vupen não divulgou o código que permite esta quebra e nem o irá fazer. Segundo informou numa notícia publicada no seu blog, irá apenas facultar informação às entidades com quem trabalha, na qual não está incluída a Google, por forma a que estas se possam proteger.
Da parte da Google não foi possível verificar esta falha e o argumento usado foi a política de não divulgação da Vupen. Ao não terem acesso ao código não lhes foi possível verificar o problema.
We're unable to verify Vupen's claims at this time as we have not received any details from them.
Should any modifications become necessary, users will be automatically updated to the latest version of Chrome.
A falha apresentada vem colocar em causa a excelente marca de segurança e invencibilidade que o Chrome tinha. A Vupen, ao não disponibilizar a falha para o público em geral consegue ter dois efeitos importantes. Um primeiro, em que limita a propagação e evita que caia em mãos erradas. O segundo é mais negativo, pois obriga a Google a trabalhar mais para descobrir e corrigir o problema que detectaram.
Artigos relacionados:
Homepage: Google Chrome
Este artigo tem mais de um ano
Loading ...
Acho que plo menos á Google deveriam facultar o código…
Entendo que não o façam ao Mundo… Mas plo menos á criadora do browser acho que deveriam… Para que fosse mais fácil resolver.
Se bem que assim são obrigados a trabalhar mais lol…
Que até é para isso que eles lá estão.
E esqueci-me de dizer:
O post está a aparecer completo na pagina inicial… X)
Bom dia GhostlandPT, está resolvido. Thanks
Se calhar não se estão a sentir assim tão caridosos com a Google e por isso não querem simplesmente oferecer nada. Vão extorquir a Google até surgir uma oferta satisfatória 🙂
Eu também tenho uma tecla no teclado da calculadora, também posso extorquir a google? LOL
É plausível, mas um video destes qualquer um podia fazer 🙂
Sinceramente não vejo isto como uma noticia alarmante, nem é!
É sim prova de que na informática nada é seguro.
Fico contente por ver que foi a primeira vez que conseguiram encontrar uma falha no Chrome, mas qual foi o browser que ainda não foi encontrada nenhuma falha?
Esta falha encontrada finalmente no Chrome vem provar, que o Chrome é um excelente browser a nível de segurança, pois foi a primeira vez que o “quebraram” demonstrando que é um dos browsers mais seguros do mercado.
Outro pormenor que não me passou ao lado, e pelo que eles dizem, esta falha aconteceu em Chromes a correr Windows 7.
E também não é por isto que eu vou deixar de usar o Windows 7 e o Chrome.
Se querem total segurança, desliguem a vossa máquina da rede.
“Segundo a Vupen este problema afecta todas as versões do Windows, quer sejam de 32 ou 64 bits.”
Sabes o que quer dizer todas as versões do Windows? Não é o 7 em específico.
Sim eu sei o que quer dizer e ainda sei ler.
Só especifiquei o Windows 7 porque é o que quase hoje todos utilizam e é o actual standard, só por isso…
Obs.: e não percebo o porquê da tua preocupação com a “gralha” no meu comentário.
Com este teu reply “supostamente agressivo ou preocupado, whatever” eu poderia também sê-lo, mas não vale a pena. Seria criar mais agressividade e acho que não vale o esforço.
A estupidez desta empresa é tanta que, descobre as falhas, mas não as faculta à empresa que desenvolve a aplicação para que esta as possa corrigir.
Enfim… /Fail
É claro, que ninguém da nada a ninguém e fazem bem eles em não disponibilizar a falha para o público em geral, a falha apresentada quanto mais tempo demorar a ser corrigida vai estar sempre a ser falada e quando a google se chatiar vai dar muito dinheiro a quem a descobrir ou mesmo ha propria Vulpen.
A empresa francesa Vupen em questão tambem deve ter feito isto para chamar atenção e também demonstrar as suas capacidades imagino eu…
claro que não diz.. primeiro tenta saber se os 20mil$ do Pwn2Own ainda estão disponíveis 😛
@Emannxx
Ninguem trabalha de borla, e como estamos a falar da Google, eles têm dinheiro mais que suficiente para pagar a esta empresa.
Sabes que os doentes do open source acham que todas as empresas trabalham de ar e vento…. por isso são obrigadas a dar de mão beijada aquilo que demoram tempo e gastaram recursos…. a google quer saber que pague…..
Nota: se o pormenor do “doentes do open source” é relacionado comigo, desculpa, mas enganas-te, redondamente. Poucas são as aplicações/programas – whatever – open source que uso.
Boas…
sabias que os doentes do DRM, acham que o resto do mundo deve pagar pelo ensino, educação de base no mundo informático a eles, etc, serviços, que hoje em dia são coisas estatais, pois a informática já é parte integrante das sociedades e estes palermas acham que lhes deves pagar se quiseres ter os teus direitos de cidadão…vá la que ainda não cobram o ar que respiramos…caso contrario, irias ter dificuldades em respirar…
…
cmps
Atenção que a Vupen é uma empresa e não uma instituição de caridade. É normal que tentem ganhar algum com o Google, que tem muito, mas mesmo muito lucro 🙂
Infelizmente, o que dizem é mesmo verdade. O dinheiro está sempre em primeiro lugar que a segurança. É incrível.
Esta empresa arrisca-se a ser ridicularizada no meio, ao não fornecer qualquer prova do feito. Uma falha só “existe” se for reproduzível.
Exacto. Para ser sincero não conheço a Vupen e a reputação que esta tem no mercado. Mas se a falha não for reproduzida por alguma outra entidade, rápidamente vão começar a ser acusados de terem “falsificado” a vulnerabilidade.
Afinal, não é assim tão seguro como se pensava…
Continua a ser mais seguro do que os demais browsers porque e’ preciso explorar varias falhas (a ultima que conheco, foram precisos 3 falhas; noutros browsers, mesmo o meu favorito, Firefox, e’ so’ preciso uma falha) para conseguir chegar ‘a conta corrente do Utilizador.
Mesmo que tenham conseguido executar uma versao alterada da calculadora (ou outro programa), nao significa que teem os privilegios necessarios para fazerem alguma coisa interessante no Sistema Operativo. Estranho que nao tenham simplesmente executado a calculadora do Sistema Operativo: sera’ porque nao teem os privilegios para abrir novos processos directamente no SO? E’ possivel que a calculadora deles seja executada numa nova thread…
Esta nao foi a primeira fez que alguem encontrou uma forma de sair da Sandbox do Chrome. A unica diferenca esta’ em que os que encontraram a falha no passado contactaram a Google, que lhes pagou o prometido, e a Google prosseguiu com a respectiva correccao. No entanto, esta empresa quer fazer publicidade e por isso nao quer dar as especificacoes ‘a Google. Quando as pessoas esquecerem o evento, a empresa eventualmente da’ os dados necessarios para a Google poder corrigir o Bug. Esta tecnica foi usada pela empresa que organiza o Pwn2Own, que anunciaram uma falha no Firefox 3 (propriamente no Firefox 2) quatro horas depois do lancamento oficial.
Fiquem Bem!
Eu também consigo fazer um video destes 🙂
Será que existe mesmo alguma falha?
“…irá apenas facultar informação às entidades com quem trabalha, na qual não está incluída a Google…”
Mas que raio. Descobrem que a casa tem um buraco por onde entrar e em vez de avisar o dono da casa informa os amigos (do alheio) por onde entrar.
Talvez n tenhas uma boa relação com o dono da casa…
talvez não tenhas lido a noticia, eles não divulgaram nem vão divulgar nada :þ
Já pensaram que pode não haver problema nenhum com o chrome e a empresa quer apenas publicidade de borla?
Então detectam um problema e não informam o Google do problema?
Cheira-me mesmo a treta.
Para mim é apenas uma operação de charme/marketing da Vulpen para obter visibilidade. De qualquer forma se descobriram realmente a falha têm o seu mérito.
Qualquer Programador ou empresa que encontra uma falha de seguranca, deve merecer o nosso respeito, nao porque sao uns grandes genios (e’ preciso mais genialidade para criar alguns algoritmos/software do que explorar uma falha), mas porque aprendemos a melhorar os nossos programas, tornando-os mais seguros. No entanto, empresa/individuos que fazem chantagem (dizem que encontraram uma falha mas nao indicam-na aos respectivos responsaveis pela correcao), sao apenas oportunistas que nao merecem nada.
Estas empresas fazem isso porque funciona em termos de publicidade. Quando alguem corrige um bug complexo nao recebe nenhum reconhecimento (existe uma discusao sobre esse assunto no Linux Kernel), mas se encontram uma falha, e’ como se fossem deuses que encontraram uma agulha num palheiro do tamanho do mundo. No entanto, falhas de seguranca sao mais como um palheiro de pequenas dimensoes com dezenas ou centenas de agulhas e que diferem no facto de como se usa a agulha depois de encontrada: colocam-se numa caixa ou espeta-se em algum “lado”.
Fiquem Bem!
O Chrome conhecido como um browser seguro?!?! HAHAHHAHAHAHAHAHHAHAHAHA… por falar em memória curta…. 🙂
Queres desenvolver?
O Chrome é tão seguro quanto qualquer outro. A cada update são várias correções de bugs de segurança.
Sim ele é seguro, ninguém falou aqui que era impossível ‘quebrar-lhe’. 🙂
Não há browsers (e SO’s claro) perfeitos, todos terão sempre algum tipo de falha…
Pessoalmente gosto do chrome e do firefox, mas uso mais o chrome simplesmente porque é mais rápido e mais leve no meu sistema… Eu uso sempre muitas tabs abertas e fiz uma vez o teste de abrir exactamente as mesmas tabs no chrome e no firefox ao mesmo tempo, e posso garantir que a agilidade do chrome supera a do firefox (pelo menos no meu pc)
está porreiro! e também já não era sem tempo de o chrome ser deitado a baixo..
Eu também sei de uma falha no Chrome, e a mais tempo que esses falhados.
E por acaso é uma falha que o IE9 não tem, o que torna o IE9 mais seguro. Mesmo assim continuo com o Chrome.
E não vou dizer mais nada sobre a falha não, só acredita quem quiser, e enviei a Google já.
A Vulpen com esta situação quer ganhar dos dois lados angariar mais clientes e extorquir dinheiro a Google , não penso ser nada sério esta atitude, eu não uso Chrome prefiro o Firefox , mas como já disseram noutros posts neste tópico nada na Web em 100% seguro .
Cumprimentos
Correcção… na informática NADA é 100% seguro…
O Hacker só procura falhas onde existam utilizadores, o que quero dizer é que se o chrome só fosse utilizado por uma pessoa eles nao iriam perder tempo com ele.
Isto assusta ( a mim que uso Chrome ). É completamente silencioso. Espero que a Vulpen chegue a um “acordo” rapidamente com a google…
Parabéns ao Pedro Simões pelo artigo 😉
nao tem qualque obrigação de demonstrar a falha à google.
São uma empresa é o trabalho deles, recebem $ por serviços, não os fazem à borla.
Se fosse só treta danificava muito a imagem da empresa, algo que nenhuma quer.
Acho bem a Vupen ter divulgado, ganha publicidade e oportunidade de negócio com a Google
Mais um erro do nosso amigo windows que leva a vulnerabilidades em aplicações.
Cumprimentos
O problema não é do Windows, mas sim da forma como o Google Chrome faz uso dos níveis de integridade.
Eu e mais algumas pessoas já nos deparamos com este problema há algum tempo atrás e avisamos os programados do projecto Chromium, mas eles preferiram ignorar.
Se há alguém com culpa são eles.
Pessoal, quem quiser obter uma caixa de areia permanente para o Google Chrome, basta fazer o seguinte:
1) Abrir linha de comandos com privilégios administrativos.
2) Escrever o seguinte: icacls directório_para_google_chrome/chrome.exe /setintegritylevel L
icacls directório_perfil_google_chrome /setintegritylevel (OI)(CI)L
icacls pasta_do_utilizador\AppData\Local\Temp /setintegritylevel (OI)(CI)L
3) Criar uma pasta para as transferências que fizerem pelo Google Chrome, e na linha de comandos escrever:
icacls directório_pasta_das_transferências /setintegritylevel (OI)(CI)L
E já está. Não há nada que escape a caixa de areia!
m00nbl00d,
Corri apenas o ponto 1) e agora está-me a dar um erro.
Como é que posso anular o processo? Não há um processo mais simples, como um ficheiro bat para utilizadores mais verdes?
Obrigado.
Podes sempre usar o Avast 6 que integra o Google Chrome nesse modo. Isto claro se não tiveres preferência no antivírus (neste caso suite)
Não é a mesma coisa!!! A caixa de areia do avast! isola o navegador… ou algo semelhante… mas caso exista um problema na caixa de areia… adeusinho.
O método que eu menciono… não há como escapar. Fica tudo com nível de integridade baixo. É aplicado pelo próprio sistema operativo.
A única diferença para o nível de integridade baixo “padrão” do Google Chrome… é que o que eu mencionei vai aplicar um nível de integridade baixo explicito/mandatório.
@ TODOS
Eu vou criar um tópico no forum do Pplware a explicar todo o proceso daqui a pouco.
Esperem um pouco!
Excelente! Espero pela post no forum!
PS: Nao uso Windows, mas sempre posso aplicar no computador dos amigos!
Fiquem Bem!
Quanto ao remover, sim é possível. Mas terás que transferir este aplicativo (a maneira mais fácil)-http://www.minasi.com/apps/chml.exe
Copia para C:\Windows\System32 (depois podes eliminar se quiseres… Pessoalmente prefiro este ao icacls da Microsoft)
Depois abre a linha de comandos com privilégios de administrador e escreve o seguinte:
chml “caminho_para_o_Google_Chrome\chrome” -rl
Caso pretendas dar uma oportunidade a este processo para aplicar um nível de integridade baixo tens que proceder a todos os passos, caso contrário o Google Chrome não conseguirá aceder ao seu perfil, por exemplo, dando erro.
OK. Eu vou exemplificar num ficheiro batch. É apenas um exemplo, pois eu não possuo o Google Chrome instalado no local por defeito. Tens que proceder às modificações necessárias.
Eu até poderei depois criar um tópico no fórum, com tudo mais detalhado, e se calhar será até melhor, não? De qualquer das formas deixo aqui um exemplo.
Isto vai aplicar um nível de integridade baixo ao Google Chrome. Ou seja, quer o processo conhecido como “broker” (corre com nível de integridade médio) quer os processos conhecidos como “target” (correm com nível de integridade baixo) irão CORRER com nível de integridade BAIXO. Tudo o que seja transferido pelo Google Chrome (infecções drive-by, resultantes de exploits, por exemplo) irá herdar um nível de integridade BAIXO!! Não há como ESCAPAR da caixa de areia!!
Copiem o seguinte para o Bloco de Notas e guardem com a extensão bat (Por exmeplo, Chrome Nível Baixo.bat):
@echo off
;O passo abaixo aplica um nível de integridade baixo ao processo chrome.exe
icacls “%PROGRAMFILES%\Google Chrome\Perfil1\chrome.exe” /setintegritylevel L
;O passo abaixo aplica um nível de integridade baixo à pasta do perfil do Google Chrome
icacls “%SYSTEMDRIVE%\Users\<nome_de_utilizador\Appdata\Local\Chromium\Perfil1" /setintegritylevel (OI)(CI)L
;O passo seguinte vai aplicar um nível de integridade baixo à pasta TEMP, caso contrário não é possível transferir ficheiros pelo Google Chrome.
icacls "%SYSTEMDRIVE%\Users\\Appdata\Local\Temp” /setintegritylevel (OI)(CI)L
; O passo seguinte vai aplicar um nível de integridade baixo à pasta Transferências, no Ambiente de Trabalho. Eu defini o Google Chrome para transferir ficheiros automaticamente para esta pasta. É necessário aplicar um nível de integridade baixo, caso contrário, o Google Chrome não conseguirá guardar ficheiros, pois o nível de integridade baixo não o permite guardar em áreas com nível de integridade superior.
icacls “%SYSTEMDRIVE%\Users\\Desktop\Transferências” /setintegritylevel (OI)(CI)L
###################### FIM ###################### (não copiem isto!)
O texto que se encontra após ; não é necessário copiar, mas podem, assim ficam a saber o que cada linha representa. Tudo o que está escrito depois de ; são comentários.
Isto é apenas um exemplo. Vocês têm que fazer as modificações necessárias de acordo com a pasta onde têm o Google Chrome instalado, que por defeito instala-se na pasta AppData.
Cliquem no menu Iniciar e escrevam %appdata%. Cliquem enter. A pasta do Google Chrome ou está em Roaming ou em Local. Procurem, e façam as modificações necessárias.
Um último passo.
Abram novamente o bloco de notas e escrevam o seguinte, e guardem com a extensão bat (por exemplo, Google Chrome.bat):
@echo off
;Vai iniciar o Google Chrome por meio de um ficheiro batch, para executar correctamente, caso tenham problemas ao fazê-lo pelo atalho do Google Chrome. Podem colocar o ícone do Google Chrome no ficheiro batch. Para tal, 1º criem um atalho do ficheiro batch, e depois vão às Propriedades desse atalho e modifiquem o ícone.
cd “%PROGRAMFILES%\Google Chrome\Perfil\”
start /min chrome.exe
P.S: Não se esqueçam, modiquem de acordo com as pastas onde o Google Chrome está no vosso sistema.
P.S2: Caso usem o Java para websites, devo alertar que o nível de integridade baixo vai fazer com que o Java deixe de funcionar.
P.S3: Isto funciona bem no meu sistema, e no sistema de outras pessoas. Mas, façam-no por vossa conta em risco.
P.S4: Isto apenas aplica-se a Windows Vista e Windows 7!
Boas, pelo que entendo do que escreveste aplica-se a qualquer aplicação. Ou seja, a qualquer browser e não me parece que seja essa a “falha”.
Não percebi bem o teu comentário. De qualquer das maneiras passo a explicar um pouco melhor.
O Google Chrome faz uso dos nível de integridade do Windows Vista e Windows 7. É o sistema operativo que o permite, não o navegador.
Acontece é que o Google Chrome implementa este tal nível de integridade de uma forma ineficaz, havendo alturas em que os processos do Google Chrome, com nome “targets” ou “children” que deveriam estar a correr com um nível de integridade baixo, correm com um nível de integridade médio.
@ Kingdra
Não é mentira, pois eu próprio já havia relatado aos programadores do Google Chrome/Chromium. Depois eu dou o link, que agora não tenho a conta de e-mail aberta.
Mas, isto já foi descoberto por outros já no ano passado. A Google não ligou puto, dizendo que não havia problema algum! Quando muitas outras pessoas também os haviam avisado! Não foi por falta de avisos! Mas, claro… “simples” utilizadores não têm o poder de uma empresa de segurança!
O que a VUPEN descobriu não foi novidade alguma para mim, pois desde que descobri esta falha que uso o Chrome com um nível de integridade baixo explícito!
Boas…
e será que não existe a possiblidade de criar forks do processo principal do chrome???estes correm com o mesmo nivel de permissoes que o processo pai…, seguido de um exec no filho e …pumbas..
cmps
O processo principal do Chrome inicia os respectivos sub-processos com privilegios negados. Um desses privilegios (negado) e’ o de criar novos processos (fork). Por isso, a unica forma de um sub-processo criar um novo processo e’ explorando o processo principal (o que nao e’ simples).
Fiquem Bem!
mas… e se em vez de um subprocesso criar um outro processo ele mesmo fizer um exec sobre si??
cmps
Mesmo se o sistema operativo aceita-se que o sub-processo execute um “exec” a si mesmo, os privilegios serao exactamente os mesmos, visto nao ser possivel remover “negacoes” ou elevar/impersonar o user token do sub-processo (NULL user, que nao tem acesso a ficheiros, registos, processos, threads, etc) para o do utilizador corrente.
Por isso e’ que e’ necessario encontrar varias falhas, primeiro no sub-processo e ultimamente no processo principal para conseguir fazer alguma coisa interessante.
Fiquem Bem!
boas..
mas o subprocesso(ou thread) a quando da sua criação pelo processo pai, herda automaticamente as mesmas permissões do processo pai, logo ele vai poder executar um exec, correndo(podendo correr) obviamente tudo aquilo que o processo pai corre, permitido pelo nivel de permissões que este tem…??!!
a não ser que o processo pai perca prioridades, e ai quando vai criar o filho, este já vem com menos prioridades que o necessário…
Concordo na parte das dificuldades em poder alterar coisas no SO que apenas podem ser corridas em modo kernel, ou com privilegios de root…
Desde ja o meu obrigado pela informação…
cmps
“mas o subprocesso(ou thread) a quando da sua criação pelo processo pai, herda automaticamente as mesmas permissões do processo pai,”
Isso so’ acontece se o processo-pai quiser esse comportamento, que nao e’ o caso do Chrome, que desactiva a heranca e, entre outras coisas, altera o SID (uid) para “Null” (S-1-0-0) do sub-processo, deixando-o sem qualquer privilegios/permissoes ao Sistema Operativo.
Fiquem Bem!
Boas…
Obrigado pela explicação 😉
cmps
Quer dizer então que descobriram uma falha no chrome, algum dia la teria de ser.
Como aqui foi dito e volto a frisar nada na informática e infalível ou “inviolável”, por a partir do momento em que a algo usado pelas massas haverá sempre alguém com segundas intenções ou então só a querer passar um bom bocado a custa dos outros. “Lol”
Sou utilizador do chrome desde os betas e antes disso infelizmente usava o i.e, tentei usar o firefox o opera o safari e muitos outros que já nem me lembro mas, pura e simplesmente não me consegui adaptar ate que o chrome saiu e desde então nunca mais mudei de browser.
Quanto a falha em si não me aquece nem arrefece e desconfio da sua veracidade pois não se sabe as circunstâncias em que esta foi descoberta. Eu posso não ser um grande entendido na matéria mas ate que haja mais desenvolvimento sobre o assunto vou ignorar e esperar pelos próximos desta novela.
Por um lado acho bem que a Vupen não divulgue o código usado para quebrar a segurança do Chrome, a Google necessita de trabalhar fortemente se quer chegar a algum lado.
Neste caso a Vupen quebrou o Chrome, mas não foi para o mal, agora imaginemos se fosse alguém com ideias maliciosas, a Google teria de se desenrascar e descobrir a falha que possibilitou a execução de código malicioso ou neste caso da Vupen um código sem efeitos maliciosos.
Faz bem à Google receber um pouco de suspense e de medo.
looooool e eu usava o google chrome porque pensava que era o mais seguro :S
A segurança do browser não passa só pelas seguranças implementadas nele, passa também pelas mãos dos utilizadores que o utilizam.
Ora se andar-mos a por dados sensíveis em sites não seguros, por mais segurança que tenha o browser, não servirá de nada.
Outra coisa, os ataques só funcionam, se o utilizador alvo não usar mecanismos de seguranças, por exemplo antivírus e firewall. Se usarem um bom firewall, dificilmente serão alvos fáceis.
Existem N mecanismos de seguranças, porque é que os utilizadores não os usam?
A segurança é feita por cada um de nós.
Você deve ter entendido assim: ‘Vou usar o chrome porque ele é impossível de ser quebrado’… lol
Ele é o brownser mais seguro da atualidade, mas, se você não deve ter percebido nos comentários acima, lá vai: Nenhuma aplicação seja ela qual for é 100% seguro!. 😛
Eduardo. Concordo. Nada é infalível e é por isso que se refere um software como estável.
Como se a google foxe dar dinheiro para saber uma coisa que talvez não exista…
Talvez não exista, ou talvez exista, já no Pwn2Own, já alguém tinha descoberto uma falha.
Eu como programador digo, quando se corrige uma coisa, raro caso não abrimos buracos em outros lados.
O código é feito em cadeia, ligado entre si, e quando corrigimos alguma coisa, todo o código tem de ser revisto de forma a que a correcção feita seja na sua totalidade “aceite” por o resto do código.
Normalmente quando é feita uma actualização, essa actualização só corrige aquela parte do código que estava com falhas, e em todos os casos, essa actualização não encaixa completamente no código, criando falhas em outros lados ou mesmo instabilidade.
Na minha opinião, quando sai uma actualização, essa actualização, deveria trazer, para além do que deve corrigir, umas linhas para corrigir o código anterior, para que a actualização encaixe na perfeição.
Mas é a lei da programação, quanto mais rápido for corrigida aquela falha, melhor.
Mas eu sempre ouvi dizer, Quanto mais alto se sobe, maior será a queda, neste caso será Quanto mais rápido se fazem as coisas, mais falhas irão aparecer.
Boas…
concordo plenamente.
cmps