В компании VUPEN Security утверждают, что ее специалистам удалось взломать Google Chrome, ни разу еще не взломанный на хакерском конкурсе Pwn2Own, при помощи эксплойта, обходящего все функции безопасности, включая "песочницу".
Сообщение об этом на сайте VUPEN Security представлено следующим образом:
Google Chrome Pwned by VUPEN aka Sandbox/ASLR/DEP Bypass
Hi everyone,
We are (un)happy to announce that we have officially Pwned Google Chrome and its sandbox.
The exploit shown in this video is one of the most sophisticated codes we have seen and created so far as it bypasses all security features including ASLR/DEP/Sandbox (and without exploiting a Windows kernel vulnerability), it is silent (no crash after executing the payload), it relies on undisclosed (0day) vulnerabilities discovered by VUPEN and it works on all Windows systems (32-bit and x64).
The video shows the exploit in action with Google Chrome v11.0.696.65 on Microsoft Windows 7 SP1 (x64). The user is tricked into visiting a specially crafted web page hosting the exploit which will execute various payloads to ultimately download the Calculator from a remote location and launch it outside the sandbox (at Medium integrity level).
While Chrome has one of the most secure sandboxes and has always survived the Pwn2Own contest during the last three years, we have now uncovered a reliable way to execute arbitrary code on any default installation of Chrome despite its sandbox, ASLR and DEP.
For security reasons, the exploit code and technical details of the underlying vulnerabilities will not be publicly disclosed. They are exclusively shared with our Government customers as part of our vulnerability research services.
вторник, 10 мая 2011 г.
понедельник, 9 мая 2011 г.
Обновление Google Chrome Beta Channel до версии 12.0
Google Chrome бета-канала для всех платформ (операционные системы Windows, Mac и Linux) обновлен с одиннадцатой до двенадцатой версии (ver. 12.0.742.30).
Основные изменения в Chrome двенадцатой версии бета-канала следующие:
• Аппаратное ускорение 3D CSS;
• Новая защита безопасного просмотра от загрузки вредоносных файлов;
• Возможность удаления flash-cookie внутри Chrome;
• Запуск приложений из омнибокса (универсальной адресной строки) по названию;
• Интегрированная синхронизация в новых страницах настройки;
• Улучшенная поддержка экранного чтения;
• Новое предупреждение при нажатии Command-Q на Mac;
• Удаление Google Gears.
The Google Chrome team is happy to announce the release of Chrome 12 to the Beta Channel for all platforms. Chrome 12.0.742.30 includes a number of new features and updates, including:
Jason Kersey
Google Chrome
Основные изменения в Chrome двенадцатой версии бета-канала следующие:
• Аппаратное ускорение 3D CSS;
• Новая защита безопасного просмотра от загрузки вредоносных файлов;
• Возможность удаления flash-cookie внутри Chrome;
• Запуск приложений из омнибокса (универсальной адресной строки) по названию;
• Интегрированная синхронизация в новых страницах настройки;
• Улучшенная поддержка экранного чтения;
• Новое предупреждение при нажатии Command-Q на Mac;
• Удаление Google Gears.
Отправлено пользователем Express через Google Reader:
источник: Google Chrome Releases, Автор: Jason, дата: 09.05.11
The Google Chrome team is happy to announce the release of Chrome 12 to the Beta Channel for all platforms. Chrome 12.0.742.30 includes a number of new features and updates, including:
- Hardware accelerated 3D CSS
- New Safe Browsing protection against downloading malicious files
- Ability to delete Flash cookies from inside Chrome
- Launch Apps by name from the Omnibox
- Integrated Sync into new settings pages
- Improved screen reader support
- New warning when hitting Command-Q on Mac
- Removal of Google Gears
Jason Kersey
Google Chrome
Здесь вы можете:
- Подписаться на Google Chrome Releases с помощью Google Reader
- Начать использовать Google Reader, чтобы быть в курсе обновлений на всех выбранных вами сайтах
Присвоение цвета событию в Google Calendar
Google Календарь теперь позволяет классифицировать события при помощи присвоения им определенного цвета (вне зависимости от принадлежности мероприятия к конкретному календарю). Для этого достаточно нажать на событие, а затем в появившемся всплывающем окне щелкнуть на цветном квадрате со стрелкой вниз в левой верхней части от названия события, после чего будет предоставлена палитра для выбора нового цвета.
Posted by Michelle Chen, Software Engineer
If your calendar ends up full of many different types of events (film nights, lunch dates, and doctor appointments, for example), there's now an easy way to categorize them using colors.
Just click on an event, then click the colored square in the top left of the pop-up bubble and pick a new color. If you don't see this option quite yet, hang tight — it'll be there for everyone within the next day or so.
Only you and anyone else you've given edit access to your calendar will be able to see the colors you choose. This has been a feature request from many of you for some time, and we hope you enjoy using it as much as we do.
Отправлено пользователем Express через Google Reader:
источник: Gmail Blog, Автор: The Gmail Team, дата: 09.05.11
Posted by Michelle Chen, Software Engineer
If your calendar ends up full of many different types of events (film nights, lunch dates, and doctor appointments, for example), there's now an easy way to categorize them using colors.
Just click on an event, then click the colored square in the top left of the pop-up bubble and pick a new color. If you don't see this option quite yet, hang tight — it'll be there for everyone within the next day or so.
Only you and anyone else you've given edit access to your calendar will be able to see the colors you choose. This has been a feature request from many of you for some time, and we hope you enjoy using it as much as we do.
Здесь вы можете:
- Подписаться на Gmail Blog с помощью Google Reader
- Начать использовать Google Reader, чтобы быть в курсе обновлений на всех выбранных вами сайтах
среда, 4 мая 2011 г.
В Gmail стало возможно сохранять до 25000 контактов по 128 Кб
В Gmail увеличено количество возможных для сохранения контактов до 25 тысяч (ранее ограничение по количеству контактов составляло 10 тысяч), а также увеличена квота на размер информации в одном контакте до 128 Кб (ранее ограничение на один контакт составляло 32 Кб).
Posted by Mike Helmick, Software Engineer
Gmail used to have a limit of 10,000 contacts. For most of us, this was way more than enough, but we heard from some of you who use Gmail to communicate with more than 10,000 people. We want you to be able to store all of your contacts in a single place, so starting today, we've increased the limit for all Gmail users, including all those of you who use Google Apps, to 25,000 contacts.
Also, previously an individual contact could be no larger than 32KB — big enough for most people, but not always sufficient for those who like to keep a lot of notes on individual contacts. Now, each contact may be up to 128KB in size, allowing you to store more information in the notes field.
Отправлено пользователем Express через Google Reader:
источник: Gmail Blog, Автор: The Gmail Team, дата: 04.05.11
Posted by Mike Helmick, Software Engineer
Gmail used to have a limit of 10,000 contacts. For most of us, this was way more than enough, but we heard from some of you who use Gmail to communicate with more than 10,000 people. We want you to be able to store all of your contacts in a single place, so starting today, we've increased the limit for all Gmail users, including all those of you who use Google Apps, to 25,000 contacts.
Also, previously an individual contact could be no larger than 32KB — big enough for most people, but not always sufficient for those who like to keep a lot of notes on individual contacts. Now, each contact may be up to 128KB in size, allowing you to store more information in the notes field.
Здесь вы можете:
- Подписаться на Gmail Blog с помощью Google Reader
- Начать использовать Google Reader, чтобы быть в курсе обновлений на всех выбранных вами сайтах
Блок поисковых подсказок запросов схожей тематики в Google Search
В официальном блоге Google Россия объявлено о включении в русскоязычной версии Google Search в левой колонке нового блока поисковых подсказок "Из этой же области" с перечнем ссылок на запросы подобной тематики. В англоязычном Google Search данный блок в панели представлен как "Something different".
Отправлено пользователем Express через Google Reader:
источник: Google Russia Blog, Автор: Inessa Roman-Pogorzhelskaya, дата: 04.05.11
Михаил Дайчик, Менеджер технических программ
Сегодня на google.ru заработал новый блок поисковых подсказок "Из этой же области". Теперь для части запросов мы будем предлагать вам на выбор несколько запросов схожей тематики. Например, если вы поищете корица, то мы подскажем [ кардамон ], [ имбирь ], [ кориандр ], [ гвоздика ], [ мускатный орех ].
Это может быть особенно полезно в тех случаях, когда вы хотите получить дополнительную информацию по незнакомой вам теме. Ранее мы уже подсказывали уточняющие запросы под результатами поиска. Они здорово помогают сузить тему вашего запроса, например на запрос олени показываются [ олени фото ], [ виды оленей ] и [ олени санта клауса ]. Однако мы заметили, что люди часто ищут понятия из одной и той же области, но не связанные друг с другом синтаксически. Например, ищущим оленей могут также быть интересны и другие лесные звери - [ лоси ], [ зайцы], [ кабаны ] или [ медведи ].
Подсказки "Из этой же области" были реализованы инженерной командой московского офиса, научившейся извлекать понятия из естественных текстов на русском языке и находить связи между этими понятиями. Так, мы понимаем, что [ Чак Норрис ], [ Брюс Ли ], [ Стивен Сигал ], [ Сильвестр Сталоне ] - это всё имена актеров, снимавшихся в ролях "крутых парней". И когда вы делаете поисковый запрос с одним из этих имен, мы предлагаем вам поискать и остальных.
Бывают и слова, попадающие сразу в несколько категорий, например калина одновременно попадает и в категорию ягод, и в категорию автомобилей. В таких случаях мы подсказываем понятия из обоих групп: [ приора ], [ рябина ], [ боярышник ], [ клюква ] и [ нива ].
Подсказки "Из той же области" охватывают самые разные сферы нашей жизни, и порой преподносят приятные сюрпризы. Вот еще несколько хороших примеров таких подсказок: таймень, пельмени, морской бой и вампиры.
Сегодня на google.ru заработал новый блок поисковых подсказок "Из этой же области". Теперь для части запросов мы будем предлагать вам на выбор несколько запросов схожей тематики. Например, если вы поищете корица, то мы подскажем [ кардамон ], [ имбирь ], [ кориандр ], [ гвоздика ], [ мускатный орех ].
Это может быть особенно полезно в тех случаях, когда вы хотите получить дополнительную информацию по незнакомой вам теме. Ранее мы уже подсказывали уточняющие запросы под результатами поиска. Они здорово помогают сузить тему вашего запроса, например на запрос олени показываются [ олени фото ], [ виды оленей ] и [ олени санта клауса ]. Однако мы заметили, что люди часто ищут понятия из одной и той же области, но не связанные друг с другом синтаксически. Например, ищущим оленей могут также быть интересны и другие лесные звери - [ лоси ], [ зайцы], [ кабаны ] или [ медведи ].
Подсказки "Из этой же области" были реализованы инженерной командой московского офиса, научившейся извлекать понятия из естественных текстов на русском языке и находить связи между этими понятиями. Так, мы понимаем, что [ Чак Норрис ], [ Брюс Ли ], [ Стивен Сигал ], [ Сильвестр Сталоне ] - это всё имена актеров, снимавшихся в ролях "крутых парней". И когда вы делаете поисковый запрос с одним из этих имен, мы предлагаем вам поискать и остальных.
Бывают и слова, попадающие сразу в несколько категорий, например калина одновременно попадает и в категорию ягод, и в категорию автомобилей. В таких случаях мы подсказываем понятия из обоих групп: [ приора ], [ рябина ], [ боярышник ], [ клюква ] и [ нива ].
Подсказки "Из той же области" охватывают самые разные сферы нашей жизни, и порой преподносят приятные сюрпризы. Вот еще несколько хороших примеров таких подсказок: таймень, пельмени, морской бой и вампиры.
Здесь вы можете:
- Подписаться на Google Russia Blog с помощью Google Reader
- Начать использовать Google Reader, чтобы быть в курсе обновлений на всех выбранных вами сайтах
среда, 27 апреля 2011 г.
Обновление Google Chrome Stable Channel до версии 11.0
Стабильная версия Google Chrome для платформ Linux, Mac и Windows (а также Chrome Frame), обновлена с десятой версии до одиннадцатой (версия релиза - 11.0.696.57).
В качестве главного изменения в стабильном релизе Chrome одиннадцатой версии на официальном блоге Chrome позиционируется поддержка речевого ввода через HTML, основанная на новых веб-технологиях в браузере. Практическое использование возможности распознавания речи с конвертацией ее в текст демонстрируется как функция голосового ввода на сервисе перевода Google Translate.
В качестве главного изменения в стабильном релизе Chrome одиннадцатой версии на официальном блоге Chrome позиционируется поддержка речевого ввода через HTML, основанная на новых веб-технологиях в браузере. Практическое использование возможности распознавания речи с конвертацией ее в текст демонстрируется как функция голосового ввода на сервисе перевода Google Translate.
Отправлено пользователем Express через Google Reader:
источник: Google Chrome Releases, Автор: Karen, дата: 27.04.11
The Google Chrome team is happy to announce the arrival of Chrome 11.0.696.57 to the Stable Channel for Windows, Mac, Linux, and Chrome Frame. Chrome 11 contains some really great improvements including speech input through HTML.
Security fixes and rewards:
Please see the Chromium security page for more detail. Note that the referenced bugs may be kept private until a majority of our users are up to date with the fix.
We're pleased to associate a record $16,500 of rewards with this patch.
We're pleased to associate a record $16,500 of rewards with this patch.
- [61502] High CVE-2011-1303: Stale pointer in floating object handling. Credit to Scott Hess of the Chromium development community and Martin Barbella.
- [70538] Low CVE-2011-1304: Pop-up block bypass via plug-ins. Credit to Chamal De Silva.
- [Linux / Mac only] [70589] Medium CVE-2011-1305: Linked-list race in database handling. Credit to Kostya Serebryany of the Chromium development community.
- [$500] [71586] Medium CVE-2011-1434: Lack of thread safety in MIME handling. Credit to Aki Helin.
- [72523] Medium CVE-2011-1435: Bad extension with 'tabs' permission can capture local files. Credit to Cole Snodgrass.
- [Linux only] [72910] Low CVE-2011-1436: Possible browser crash due to bad interaction with X. Credit to miaubiz.
- [$1000] [73526] High CVE-2011-1437: Integer overflows in float rendering. Credit to miaubiz.
- [$1000] [74653] High CVE-2011-1438: Same origin policy violation with blobs. Credit to kuzzcc.
- [Linux only] [74763] High CVE-2011-1439: Prevent interference between renderer processes. Credit to Julien Tinnes of the Google Security Team.
- [$1000] [75186] High CVE-2011-1440: Use-after-free with <ruby> tag and CSS. Credit to Jose A. Vazquez.
- [$500] [75347] High CVE-2011-1441: Bad cast with floating select lists. Credit to Michael Griffiths.
- [$1000] [75801] High CVE-2011-1442: Corrupt node trees with mutation events. Credit to Sergey Glazunov and wushi of team 509.
- [$1000] [76001] High CVE-2011-1443: Stale pointers in layering code. Credit to Martin Barbella.
- [$500] [Linux only] [76542] High CVE-2011-1444: Race condition in sandbox launcher. Credit to Dan Rosenberg.
- [76646] Medium CVE-2011-1445: Out-of-bounds read in SVG. Credit to wushi of team509.
- [$3000] [76666] [77507] [78031] High CVE-2011-1446: Possible URL bar spoofs with navigation errors and interrupted loads. Credit to kuzzcc.
- [$1000] [76966] High CVE-2011-1447: Stale pointer in drop-down list handling. Credit to miaubiz.
- [$1000] [77130] High CVE-2011-1448: Stale pointer in height calculations. Credit to wushi of team509.
- [$1000] [77346] High CVE-2011-1449: Use-after-free in WebSockets. Credit to Marek Majkowski.
- [77349] Low CVE-2011-1450: Dangling pointers in file dialogs. Credit to kuzzcc.
- [$2000] [77463] High CVE-2011-1451: Dangling pointers in DOM id map. Credit to Sergey Glazunov.
- [$500] [77786] Medium CVE-2011-1452: URL bar spoof with redirect and manual reload. Credit to Jordi Chancel.
- [$1500] [79199] High CVE-2011-1454: Use-after-free in DOM id handling. Credit to Sergey Glazunov.
- [79361] Medium CVE-2011-1455: Out-of-bounds read with multipart-encoded PDF. Credit to Eric Roman of the Chromium development community.
- [79364] High CVE-2011-1456: Stale pointers with PDF forms. Credit to Eric Roman of the Chromium development community.
More on what's new at the Official Chrome Blog. You can find full details about the changes that are in Chrome 11 in the SVN revision log. If you find new issues, please let us know by filing a bug. Want to change to another Chrome release channel? Find out how.
Karen Grunberg
Google Chrome
Karen Grunberg
Google Chrome
Здесь вы можете:
- Подписаться на Google Chrome Releases с помощью Google Reader
- Начать использовать Google Reader, чтобы быть в курсе обновлений на всех выбранных вами сайтах
Фильмы «Мосфильма» на YouTube
Отправлено пользователем Express через Google Reader:
источник: Google Russia Blog, Автор: Inessa Roman-Pogorzhelskaya, дата: 27.04.11
Юрий Хазанов, менеджер YouTube по работе с партнерами
Хорошая новость для любителей советских фильмов – сегодня был запущен канал Mosfilm на YouTube (http://www.youtube.com/mosfilm). Это первый в России партнерский канал YouTube, на котором пользователям будут постоянно доступны полнометражные картины. В других странах люди смогут увидеть киноленты Мосфильма с субтитрами.
Уже cейчас на канале представлены 50 кинокартин. Каждую неделю Мосфильм будет загружать туда пять новых фильмов. К концу 2011 года на канале появятся более 200 кинолент в высоком разрешении. Вот лишь некоторые из них:
● Белое солнце пустыни
● Бриллиантовая рука
● Вокзал для двоих
● Волга-Волга
● Гусарская баллада
● Джентльмены удачи
● Жестокий романс
● Иван Васильевич меняет профессию
● Курьер
● Мимино
● Яды, или всемирная история отравлений
Приятного просмотра!
Здесь вы можете:
- Подписаться на Google Russia Blog с помощью Google Reader
- Начать использовать Google Reader, чтобы быть в курсе обновлений на всех выбранных вами сайтах
Подписаться на:
Сообщения (Atom)
Сообщения
