Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Copybara, il malware che prende di mira il banking italiano  ///    hai una start-up innovativa sulla cybersecurity? Candidati alla call!    ///  Microsoft rilascia un tool USB per risolvere il problema del BSOD di CrowdStrike su Windows 10 e 11  ///    scopri betti-rhc, il fumetto sul cybersecurity awareness    ///  EvilVideo: L’Exploit Zero-Day Che Minaccia Telegram su Android  ///    Scropri i corsi di Red Hot Cyber    ///  Una Hot-fix malevola per CrowdStrike diffonde HijackLoader e RemCos  ///    Iscriviti al nostro canale Whatsapp    ///  Red Hot Cyber Completa con Successo il Secondo Corso di Darkweb & Cyber Threat Intelligence  ///    hai una start-up innovativa sulla cybersecurity? Candidati alla call!    ///  L’interruzione di CrowdStrike ha colpito meno dell’1% dei dispositivi Windows. Attenzione Alle Frodi!  ///    scopri betti-rhc, il fumetto sul cybersecurity awareness    ///  Incidente CrowdStrike: Riflessioni sulla Security di oggi e di Domani. “Non importa se si viene spiati, importa da chi”  ///    Scropri i corsi di Red Hot Cyber    ///  Diverse aziende salvate dal BSOD di CrowdStrike con Windows 3.1. Ma l’Obsolescenza è un bene?  ///    Iscriviti al nostro canale Whatsapp    ///  Microsoft Windows vittima inconsapevole della Supply-Chain. Cosa l’incidente di CrowdStrike ci deve insegnare  ///    hai una start-up innovativa sulla cybersecurity? Candidati alla call!    ///  CrowdStrike emette un comunicato stampa ufficiale: “Siamo profondamente dispiaciuti”  ///  
Crowdstrike

Google rafforza la sicurezza di Chrome con il nuovo sandbox V8: come funziona?

Redazione RHC : 10 Aprile 2024 07:19

Nel tentativo di migliorare la resistenza di Chrome ai bug di memoria, Google sta aggiungendo la sandbox V8 al suo browser e ora i ricercatori di sicurezza possono utilizzarla per trovare nuove vulnerabilità.

Negli ultimi anni Chrome ha sofferto di problemi di sicurezza della memoria, la maggior parte dei quali erano legati al motore JavaScript V8. Inoltre, nel caso del V8, i soliti mezzi di protezione (utilizzo di meccanismi di sicurezza hardware o passaggio a un linguaggio più sicuro per la memoria, ad esempio Rust), non hanno affatto aiutato.

“Quasi tutte le vulnerabilità trovate e sfruttate oggi nella V8 hanno una cosa in comune: il danneggiamento della memoria si verifica necessariamente all’interno dell’heap V8, poiché il compilatore e il runtime funzionano quasi sempre esclusivamente su istanze HeapObject V8”, afferma Google.

Supporta Red Hot Cyber attraverso

La nuova sandbox V8 isola la memoria per prevenire la sua corruzione. Poiché non esiste un hardware adatto a questo scopo, Google ha deciso di implementare il Sandbox nel software.

“L’idea di base di un sandbox software è quella di sostituire tutti i tipi di dati che possono accedere alla memoria al di fuori della sandbox. In particolare, devono essere rimossi tutti i puntatori (sia agli oggetti nell’heap V8 che altrove) e le dimensioni a 64 bit, poiché un utente malintenzionato potrebbe corromperli per accedere successivamente ad altre partizioni della memoria”, affermano gli sviluppatori.

Secondo gli esperti, negli scenari di attacco, gli aggressori non saranno in grado di sfuggire alla sandbox e raggiungere altre parti della memoria dove vengono allocati i processi. Quindi dovranno prima bypassare la sandbox V8, il che complicherà notevolmente il compito.

Proposto originariamente nel 2021, il sandboxing per V8 è ora considerato una funzionalità di sicurezza praticabile e Google lo ha già implementato in Chrome 123 a scopo di test. La società ha inoltre aggiunto la sandbox al bug bounty del programma Chrome Vulnerability Rewards in modo che gli sviluppatori e i ricercatori della sicurezza possano identificare difetti e vulnerabilità al suo interno.

Secondo Google, tutti i problemi identificati fino ad oggi sono banali bug di corruzione della memoria che non sono difficili da prevenire o mitigare, a differenza dei bug più gravi tipicamente riscontrati nel V8.

Si rileva inoltre che il sandboxing V8 rappresenta solo l’1% (o meno) del consumo di risorse in carichi di lavoro tipici, il che significa che potrebbe essere abilitato per impostazione predefinita su piattaforme compatibili. Nelle ultime due settimane, il sandbox V8 è stato attivo per impostazione predefinita sulle versioni a 64 bit di Chrome per Android, ChromeOS, Linux, macOS e Windows, principalmente per testare la stabilità e raccogliere statistiche sulle prestazioni.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009