I ricercatori scoprono 11 gravi vulnerabilità di sicurezza nei browser Chrome e Firefox

I ricercatori del Georgia Tech trovano falle di sicurezza nei browser Chrome e Firefox

I ricercatori del Georgia Institute of Technology College of Computing hanno trovato 11 difetti precedentemente sconosciuti in due dei browser Internet più utilizzati: Google Chrome e Mozilla Firefox.

I ricercatori hanno trovato queste falle sepolte nel sistema attraverso un nuovo metodo di analisi della cyber-sicurezza.

Per i loro sforzi, sono stati premiati con il Premio per la Difesa di Internet, un riconoscimento presentato da Facebook, in collaborazione con USENIX, al 24° Simposio sulla Sicurezza USENIX che si è concluso il 14 agosto.

Gli studenti di dottorato Byoungyoung Lee e Chengyu Song, insieme ai professori Taesoo Kim e Wenke Lee, del Georgia Tech, hanno ricevuto 100.000 dollari da Facebook per continuare la loro ricerca e aumentare il suo impatto per rendere Internet più sicuro.

La loro ricerca, “Verifica del Casting di Tipo: Fermare un Vettore di Attacco Emergente”, esplora le vulnerabilità nei programmi C++ (come Chrome e Firefox) che derivano da “cattivo casting” o “confusione di tipo”. Un cattivo casting consente a un attaccante di corrompere la memoria in un browser in modo che segua una logica malevola invece di istruzioni corrette. I ricercatori hanno sviluppato un nuovo strumento di rilevamento proprietario chiamato CAVER per catturarli. CAVER è uno strumento di rilevamento in tempo reale con un sovraccarico del 7,6% - 64,6% sulle prestazioni del browser (Chrome e Firefox, rispettivamente).

Le 11 vulnerabilità identificate dal Georgia Tech sono state confermate sia da Mozilla che da Google e entrambi i browser sono stati ora corretti.

“È tempo che la comunità di Internet inizi ad affrontare i problemi di sicurezza più difficili e profondi,” afferma Wenke Lee, professore nella Scuola di Informatica e consigliere del team. “La comunità di ricerca sulla sicurezza ha lavorato in vari modi per rilevare e correggere i bug di sicurezza della memoria per decenni, e ha fatto progressi sui bug di ‘overflow dello stack’ e ‘overflow dell’heap’, ma questi sono diventati problemi relativamente facili. Il nostro lavoro ha studiato i bug molto più difficili e profondi — in particolare ‘uso dopo la liberazione’ e ‘cattivo casting’ — e i nostri strumenti hanno scoperto gravi bug di sicurezza in software ampiamente utilizzati, come Firefox e libstdc++. Siamo grati a Facebook per questo riconoscimento.”

I ricercatori hanno sviluppato un nuovo strumento di rilevamento proprietario chiamato CAVER per catturarli. CAVER è uno strumento di rilevamento in tempo reale con un sovraccarico del 7,6% al 64,6% sulle prestazioni di Chrome e Firefox.

“Progettare tecnologie di sicurezza difensiva non è mai stato così importante, ed è per questo che offriamo ancora una volta il Premio per la Difesa di Internet per stimolare ricerche di alta qualità in quest’area,” ha dichiarato Ioannis Papagiannis, manager della sicurezza ingegneristica di Facebook. “La tecnica innovativa del team del Georgia Tech per rilevare cattivi casting di tipo nei programmi C++ è il tipo di approccio distintivo che vogliamo incoraggiare. Non vediamo l’ora di vedere cosa farà il team successivamente per creare un impatto più ampio e migliorare la sicurezza su Internet.” “L’opera premiata del Georgia Tech esemplifica la ricerca sulla sicurezza all’avanguardia che è diventata un marchio di fabbrica del Simposio sulla Sicurezza USENIX,” ha dichiarato Casey Henderson, direttore esecutivo dell’Associazione USENIX. “Il loro lavoro pionieristico si è distinto tra i numerosi eccellenti contributi giudicati dal Comitato dei Premi di Sicurezza USENIX e da Facebook. Non vediamo l’ora di vedere i loro progressi continui resi possibili dal Premio per la Difesa di Internet nel prossimo anno.