Pesquisadores descobrem 11 falhas de segurança profundas nos navegadores Chrome e Firefox

Pesquisadores do Georgia Tech encontram buracos de segurança nos navegadores Chrome e Firefox

Pesquisadores do Georgia Institute of Technology College of Computing  encontraram 11 falhas previamente desconhecidas em dois dos navegadores de Internet mais amplamente utilizados—Google Chrome e Mozilla Firefox.

Os pesquisadores encontraram esses buracos enterrados profundamente no sistema através de um novo método de análise de cibersegurança.

Por seus esforços, foram recompensados com o Prêmio de Defesa da Internet, um prêmio apresentado pelo Facebook, em parceria com a USENIX, no 24º Simpósio de Segurança da USENIX que terminou em 14 de agosto.

Os estudantes de doutorado Byoungyoung Lee e Chengyu Song, com os Professores Taesoo Kim e Wenke Lee, do Georgia Tech, receberam $100.000 do Facebook para continuar sua pesquisa e aumentar seu impacto para tornar a Internet mais segura.

Sua pesquisa, “Verificação de Casting de Tipo: Parando um Vetor de Ataque Emergente,” explora vulnerabilidades em programas C++ (como Chrome e Firefox) que resultam de “casting ruim” ou “confusão de tipo.” Casting ruim permite que um atacante corrompa a memória em um navegador de forma que ele siga uma lógica maliciosa em vez de instruções adequadas. Os pesquisadores desenvolveram uma nova ferramenta de detecção proprietária chamada CAVER para capturá-las. CAVER é uma ferramenta de detecção em tempo de execução com uma sobrecarga de 7,6% a 64,6% no desempenho do navegador (Chrome e Firefox, respectivamente).

As 11 vulnerabilidades identificadas pelo Georgia Tech foram confirmadas tanto pela Mozilla quanto pelo Google e ambos os navegadores agora foram corrigidos.

“É hora da comunidade da Internet começar a abordar os problemas de segurança mais difíceis e profundos,” diz Wenke Lee, professor na Escola de Ciência da Computação e conselheiro da equipe. “A comunidade de pesquisa em segurança tem trabalhado em várias maneiras de detectar e corrigir bugs de segurança de memória por décadas, e fez progressos em bugs de ‘overflow de pilha’ e ‘overflow de heap’, mas esses se tornaram problemas relativamente fáceis. Nosso trabalho estudou os bugs muito mais difíceis e profundos — em particular ‘uso após liberação’ e ‘casting ruim’ — e nossas ferramentas descobriram sérios bugs de segurança em softwares amplamente utilizados, como Firefox e libstdc++. Agradecemos ao Facebook por este reconhecimento.”

Os pesquisadores desenvolveram uma nova ferramenta de detecção proprietária chamada CAVER para capturá-las. CAVER é uma ferramenta de detecção em tempo de execução com uma sobrecarga de 7,6% a 64,6% no desempenho do Chrome e Firefox.

“Projetar tecnologia de segurança defensiva nunca foi tão importante, e é por isso que estamos mais uma vez oferecendo o Prêmio de Defesa da Internet para estimular pesquisas de alta qualidade nesta área,” disse Ioannis Papagiannis, gerente de engenharia de segurança do Facebook. “A técnica inovadora da equipe do Georgia Tech para detectar casts de tipo ruins em programas C++ é o tipo de abordagem destacada que queremos incentivar. Estamos ansiosos para ver o que a equipe fará a seguir para criar um impacto mais amplo e melhorar a segurança na Internet.” “A entrada premiada do Georgia Tech exemplifica a pesquisa de segurança inovadora que se tornou uma marca registrada do Simpósio de Segurança da USENIX,” disse Casey Henderson, diretor executivo da USENIX Association. “O trabalho pioneiro deles se destacou entre as muitas submissões excepcionais julgadas pelo Comitê de Prêmios de Segurança da USENIX e pelo Facebook. Estamos ansiosos para seu progresso contínuo possibilitado pelo Prêmio de Defesa da Internet no próximo ano.