В компании VUPEN Security утверждают, что ее специалистам удалось взломать Google Chrome, ни разу еще не взломанный на хакерском конкурсе Pwn2Own, при помощи эксплойта, обходящего все функции безопасности, включая "песочницу".
Сообщение об этом на сайте VUPEN Security представлено следующим образом:
Google Chrome Pwned by VUPEN aka Sandbox/ASLR/DEP Bypass
Hi everyone,
We are (un)happy to announce that we have officially Pwned Google Chrome and its sandbox.
The exploit shown in this video is one of the most sophisticated codes we have seen and created so far as it bypasses all security features including ASLR/DEP/Sandbox (and without exploiting a Windows kernel vulnerability), it is silent (no crash after executing the payload), it relies on undisclosed (0day) vulnerabilities discovered by VUPEN and it works on all Windows systems (32-bit and x64).
The video shows the exploit in action with Google Chrome v11.0.696.65 on Microsoft Windows 7 SP1 (x64). The user is tricked into visiting a specially crafted web page hosting the exploit which will execute various payloads to ultimately download the Calculator from a remote location and launch it outside the sandbox (at Medium integrity level).
While Chrome has one of the most secure sandboxes and has always survived the Pwn2Own contest during the last three years, we have now uncovered a reliable way to execute arbitrary code on any default installation of Chrome despite its sandbox, ASLR and DEP.
For security reasons, the exploit code and technical details of the underlying vulnerabilities will not be publicly disclosed. They are exclusively shared with our Government customers as part of our vulnerability research services.
вторник, 10 мая 2011 г.
понедельник, 9 мая 2011 г.
Обновление Google Chrome Beta Channel до версии 12.0
Google Chrome бета-канала для всех платформ (операционные системы Windows, Mac и Linux) обновлен с одиннадцатой до двенадцатой версии (ver. 12.0.742.30).
Основные изменения в Chrome двенадцатой версии бета-канала следующие:
• Аппаратное ускорение 3D CSS;
• Новая защита безопасного просмотра от загрузки вредоносных файлов;
• Возможность удаления flash-cookie внутри Chrome;
• Запуск приложений из омнибокса (универсальной адресной строки) по названию;
• Интегрированная синхронизация в новых страницах настройки;
• Улучшенная поддержка экранного чтения;
• Новое предупреждение при нажатии Command-Q на Mac;
• Удаление Google Gears.
The Google Chrome team is happy to announce the release of Chrome 12 to the Beta Channel for all platforms. Chrome 12.0.742.30 includes a number of new features and updates, including:
Jason Kersey
Google Chrome
Основные изменения в Chrome двенадцатой версии бета-канала следующие:
• Аппаратное ускорение 3D CSS;
• Новая защита безопасного просмотра от загрузки вредоносных файлов;
• Возможность удаления flash-cookie внутри Chrome;
• Запуск приложений из омнибокса (универсальной адресной строки) по названию;
• Интегрированная синхронизация в новых страницах настройки;
• Улучшенная поддержка экранного чтения;
• Новое предупреждение при нажатии Command-Q на Mac;
• Удаление Google Gears.
Отправлено пользователем Express через Google Reader:
источник: Google Chrome Releases, Автор: Jason, дата: 09.05.11
The Google Chrome team is happy to announce the release of Chrome 12 to the Beta Channel for all platforms. Chrome 12.0.742.30 includes a number of new features and updates, including:
- Hardware accelerated 3D CSS
- New Safe Browsing protection against downloading malicious files
- Ability to delete Flash cookies from inside Chrome
- Launch Apps by name from the Omnibox
- Integrated Sync into new settings pages
- Improved screen reader support
- New warning when hitting Command-Q on Mac
- Removal of Google Gears
Jason Kersey
Google Chrome
Здесь вы можете:
- Подписаться на Google Chrome Releases с помощью Google Reader
- Начать использовать Google Reader, чтобы быть в курсе обновлений на всех выбранных вами сайтах
Присвоение цвета событию в Google Calendar
Google Календарь теперь позволяет классифицировать события при помощи присвоения им определенного цвета (вне зависимости от принадлежности мероприятия к конкретному календарю). Для этого достаточно нажать на событие, а затем в появившемся всплывающем окне щелкнуть на цветном квадрате со стрелкой вниз в левой верхней части от названия события, после чего будет предоставлена палитра для выбора нового цвета.
Posted by Michelle Chen, Software Engineer
If your calendar ends up full of many different types of events (film nights, lunch dates, and doctor appointments, for example), there's now an easy way to categorize them using colors.
Just click on an event, then click the colored square in the top left of the pop-up bubble and pick a new color. If you don't see this option quite yet, hang tight — it'll be there for everyone within the next day or so.
Only you and anyone else you've given edit access to your calendar will be able to see the colors you choose. This has been a feature request from many of you for some time, and we hope you enjoy using it as much as we do.
Отправлено пользователем Express через Google Reader:
источник: Gmail Blog, Автор: The Gmail Team, дата: 09.05.11
Posted by Michelle Chen, Software Engineer
If your calendar ends up full of many different types of events (film nights, lunch dates, and doctor appointments, for example), there's now an easy way to categorize them using colors.
Just click on an event, then click the colored square in the top left of the pop-up bubble and pick a new color. If you don't see this option quite yet, hang tight — it'll be there for everyone within the next day or so.
Only you and anyone else you've given edit access to your calendar will be able to see the colors you choose. This has been a feature request from many of you for some time, and we hope you enjoy using it as much as we do.
Здесь вы можете:
- Подписаться на Gmail Blog с помощью Google Reader
- Начать использовать Google Reader, чтобы быть в курсе обновлений на всех выбранных вами сайтах
среда, 4 мая 2011 г.
В Gmail стало возможно сохранять до 25000 контактов по 128 Кб
В Gmail увеличено количество возможных для сохранения контактов до 25 тысяч (ранее ограничение по количеству контактов составляло 10 тысяч), а также увеличена квота на размер информации в одном контакте до 128 Кб (ранее ограничение на один контакт составляло 32 Кб).
Posted by Mike Helmick, Software Engineer
Gmail used to have a limit of 10,000 contacts. For most of us, this was way more than enough, but we heard from some of you who use Gmail to communicate with more than 10,000 people. We want you to be able to store all of your contacts in a single place, so starting today, we've increased the limit for all Gmail users, including all those of you who use Google Apps, to 25,000 contacts.
Also, previously an individual contact could be no larger than 32KB — big enough for most people, but not always sufficient for those who like to keep a lot of notes on individual contacts. Now, each contact may be up to 128KB in size, allowing you to store more information in the notes field.
Отправлено пользователем Express через Google Reader:
источник: Gmail Blog, Автор: The Gmail Team, дата: 04.05.11
Posted by Mike Helmick, Software Engineer
Gmail used to have a limit of 10,000 contacts. For most of us, this was way more than enough, but we heard from some of you who use Gmail to communicate with more than 10,000 people. We want you to be able to store all of your contacts in a single place, so starting today, we've increased the limit for all Gmail users, including all those of you who use Google Apps, to 25,000 contacts.
Also, previously an individual contact could be no larger than 32KB — big enough for most people, but not always sufficient for those who like to keep a lot of notes on individual contacts. Now, each contact may be up to 128KB in size, allowing you to store more information in the notes field.
Здесь вы можете:
- Подписаться на Gmail Blog с помощью Google Reader
- Начать использовать Google Reader, чтобы быть в курсе обновлений на всех выбранных вами сайтах
Блок поисковых подсказок запросов схожей тематики в Google Search
В официальном блоге Google Россия объявлено о включении в русскоязычной версии Google Search в левой колонке нового блока поисковых подсказок "Из этой же области" с перечнем ссылок на запросы подобной тематики. В англоязычном Google Search данный блок в панели представлен как "Something different".
Отправлено пользователем Express через Google Reader:
источник: Google Russia Blog, Автор: Inessa Roman-Pogorzhelskaya, дата: 04.05.11
Михаил Дайчик, Менеджер технических программ
Сегодня на google.ru заработал новый блок поисковых подсказок "Из этой же области". Теперь для части запросов мы будем предлагать вам на выбор несколько запросов схожей тематики. Например, если вы поищете корица, то мы подскажем [ кардамон ], [ имбирь ], [ кориандр ], [ гвоздика ], [ мускатный орех ].
Это может быть особенно полезно в тех случаях, когда вы хотите получить дополнительную информацию по незнакомой вам теме. Ранее мы уже подсказывали уточняющие запросы под результатами поиска. Они здорово помогают сузить тему вашего запроса, например на запрос олени показываются [ олени фото ], [ виды оленей ] и [ олени санта клауса ]. Однако мы заметили, что люди часто ищут понятия из одной и той же области, но не связанные друг с другом синтаксически. Например, ищущим оленей могут также быть интересны и другие лесные звери - [ лоси ], [ зайцы], [ кабаны ] или [ медведи ].
Подсказки "Из этой же области" были реализованы инженерной командой московского офиса, научившейся извлекать понятия из естественных текстов на русском языке и находить связи между этими понятиями. Так, мы понимаем, что [ Чак Норрис ], [ Брюс Ли ], [ Стивен Сигал ], [ Сильвестр Сталоне ] - это всё имена актеров, снимавшихся в ролях "крутых парней". И когда вы делаете поисковый запрос с одним из этих имен, мы предлагаем вам поискать и остальных.
Бывают и слова, попадающие сразу в несколько категорий, например калина одновременно попадает и в категорию ягод, и в категорию автомобилей. В таких случаях мы подсказываем понятия из обоих групп: [ приора ], [ рябина ], [ боярышник ], [ клюква ] и [ нива ].
Подсказки "Из той же области" охватывают самые разные сферы нашей жизни, и порой преподносят приятные сюрпризы. Вот еще несколько хороших примеров таких подсказок: таймень, пельмени, морской бой и вампиры.
Сегодня на google.ru заработал новый блок поисковых подсказок "Из этой же области". Теперь для части запросов мы будем предлагать вам на выбор несколько запросов схожей тематики. Например, если вы поищете корица, то мы подскажем [ кардамон ], [ имбирь ], [ кориандр ], [ гвоздика ], [ мускатный орех ].
Это может быть особенно полезно в тех случаях, когда вы хотите получить дополнительную информацию по незнакомой вам теме. Ранее мы уже подсказывали уточняющие запросы под результатами поиска. Они здорово помогают сузить тему вашего запроса, например на запрос олени показываются [ олени фото ], [ виды оленей ] и [ олени санта клауса ]. Однако мы заметили, что люди часто ищут понятия из одной и той же области, но не связанные друг с другом синтаксически. Например, ищущим оленей могут также быть интересны и другие лесные звери - [ лоси ], [ зайцы], [ кабаны ] или [ медведи ].
Подсказки "Из этой же области" были реализованы инженерной командой московского офиса, научившейся извлекать понятия из естественных текстов на русском языке и находить связи между этими понятиями. Так, мы понимаем, что [ Чак Норрис ], [ Брюс Ли ], [ Стивен Сигал ], [ Сильвестр Сталоне ] - это всё имена актеров, снимавшихся в ролях "крутых парней". И когда вы делаете поисковый запрос с одним из этих имен, мы предлагаем вам поискать и остальных.
Бывают и слова, попадающие сразу в несколько категорий, например калина одновременно попадает и в категорию ягод, и в категорию автомобилей. В таких случаях мы подсказываем понятия из обоих групп: [ приора ], [ рябина ], [ боярышник ], [ клюква ] и [ нива ].
Подсказки "Из той же области" охватывают самые разные сферы нашей жизни, и порой преподносят приятные сюрпризы. Вот еще несколько хороших примеров таких подсказок: таймень, пельмени, морской бой и вампиры.
Здесь вы можете:
- Подписаться на Google Russia Blog с помощью Google Reader
- Начать использовать Google Reader, чтобы быть в курсе обновлений на всех выбранных вами сайтах
среда, 27 апреля 2011 г.
Обновление Google Chrome Stable Channel до версии 11.0
Стабильная версия Google Chrome для платформ Linux, Mac и Windows (а также Chrome Frame), обновлена с десятой версии до одиннадцатой (версия релиза - 11.0.696.57).
В качестве главного изменения в стабильном релизе Chrome одиннадцатой версии на официальном блоге Chrome позиционируется поддержка речевого ввода через HTML, основанная на новых веб-технологиях в браузере. Практическое использование возможности распознавания речи с конвертацией ее в текст демонстрируется как функция голосового ввода на сервисе перевода Google Translate.
В качестве главного изменения в стабильном релизе Chrome одиннадцатой версии на официальном блоге Chrome позиционируется поддержка речевого ввода через HTML, основанная на новых веб-технологиях в браузере. Практическое использование возможности распознавания речи с конвертацией ее в текст демонстрируется как функция голосового ввода на сервисе перевода Google Translate.
Отправлено пользователем Express через Google Reader:
источник: Google Chrome Releases, Автор: Karen, дата: 27.04.11
The Google Chrome team is happy to announce the arrival of Chrome 11.0.696.57 to the Stable Channel for Windows, Mac, Linux, and Chrome Frame. Chrome 11 contains some really great improvements including speech input through HTML.
Security fixes and rewards:
Please see the Chromium security page for more detail. Note that the referenced bugs may be kept private until a majority of our users are up to date with the fix.
We're pleased to associate a record $16,500 of rewards with this patch.
We're pleased to associate a record $16,500 of rewards with this patch.
- [61502] High CVE-2011-1303: Stale pointer in floating object handling. Credit to Scott Hess of the Chromium development community and Martin Barbella.
- [70538] Low CVE-2011-1304: Pop-up block bypass via plug-ins. Credit to Chamal De Silva.
- [Linux / Mac only] [70589] Medium CVE-2011-1305: Linked-list race in database handling. Credit to Kostya Serebryany of the Chromium development community.
- [$500] [71586] Medium CVE-2011-1434: Lack of thread safety in MIME handling. Credit to Aki Helin.
- [72523] Medium CVE-2011-1435: Bad extension with 'tabs' permission can capture local files. Credit to Cole Snodgrass.
- [Linux only] [72910] Low CVE-2011-1436: Possible browser crash due to bad interaction with X. Credit to miaubiz.
- [$1000] [73526] High CVE-2011-1437: Integer overflows in float rendering. Credit to miaubiz.
- [$1000] [74653] High CVE-2011-1438: Same origin policy violation with blobs. Credit to kuzzcc.
- [Linux only] [74763] High CVE-2011-1439: Prevent interference between renderer processes. Credit to Julien Tinnes of the Google Security Team.
- [$1000] [75186] High CVE-2011-1440: Use-after-free with <ruby> tag and CSS. Credit to Jose A. Vazquez.
- [$500] [75347] High CVE-2011-1441: Bad cast with floating select lists. Credit to Michael Griffiths.
- [$1000] [75801] High CVE-2011-1442: Corrupt node trees with mutation events. Credit to Sergey Glazunov and wushi of team 509.
- [$1000] [76001] High CVE-2011-1443: Stale pointers in layering code. Credit to Martin Barbella.
- [$500] [Linux only] [76542] High CVE-2011-1444: Race condition in sandbox launcher. Credit to Dan Rosenberg.
- [76646] Medium CVE-2011-1445: Out-of-bounds read in SVG. Credit to wushi of team509.
- [$3000] [76666] [77507] [78031] High CVE-2011-1446: Possible URL bar spoofs with navigation errors and interrupted loads. Credit to kuzzcc.
- [$1000] [76966] High CVE-2011-1447: Stale pointer in drop-down list handling. Credit to miaubiz.
- [$1000] [77130] High CVE-2011-1448: Stale pointer in height calculations. Credit to wushi of team509.
- [$1000] [77346] High CVE-2011-1449: Use-after-free in WebSockets. Credit to Marek Majkowski.
- [77349] Low CVE-2011-1450: Dangling pointers in file dialogs. Credit to kuzzcc.
- [$2000] [77463] High CVE-2011-1451: Dangling pointers in DOM id map. Credit to Sergey Glazunov.
- [$500] [77786] Medium CVE-2011-1452: URL bar spoof with redirect and manual reload. Credit to Jordi Chancel.
- [$1500] [79199] High CVE-2011-1454: Use-after-free in DOM id handling. Credit to Sergey Glazunov.
- [79361] Medium CVE-2011-1455: Out-of-bounds read with multipart-encoded PDF. Credit to Eric Roman of the Chromium development community.
- [79364] High CVE-2011-1456: Stale pointers with PDF forms. Credit to Eric Roman of the Chromium development community.
More on what's new at the Official Chrome Blog. You can find full details about the changes that are in Chrome 11 in the SVN revision log. If you find new issues, please let us know by filing a bug. Want to change to another Chrome release channel? Find out how.
Karen Grunberg
Google Chrome
Karen Grunberg
Google Chrome
Здесь вы можете:
- Подписаться на Google Chrome Releases с помощью Google Reader
- Начать использовать Google Reader, чтобы быть в курсе обновлений на всех выбранных вами сайтах
Фильмы «Мосфильма» на YouTube
Отправлено пользователем Express через Google Reader:
источник: Google Russia Blog, Автор: Inessa Roman-Pogorzhelskaya, дата: 27.04.11
Юрий Хазанов, менеджер YouTube по работе с партнерами
Хорошая новость для любителей советских фильмов – сегодня был запущен канал Mosfilm на YouTube (http://www.youtube.com/mosfilm). Это первый в России партнерский канал YouTube, на котором пользователям будут постоянно доступны полнометражные картины. В других странах люди смогут увидеть киноленты Мосфильма с субтитрами.
Уже cейчас на канале представлены 50 кинокартин. Каждую неделю Мосфильм будет загружать туда пять новых фильмов. К концу 2011 года на канале появятся более 200 кинолент в высоком разрешении. Вот лишь некоторые из них:
● Белое солнце пустыни
● Бриллиантовая рука
● Вокзал для двоих
● Волга-Волга
● Гусарская баллада
● Джентльмены удачи
● Жестокий романс
● Иван Васильевич меняет профессию
● Курьер
● Мимино
● Яды, или всемирная история отравлений
Приятного просмотра!
Здесь вы можете:
- Подписаться на Google Russia Blog с помощью Google Reader
- Начать использовать Google Reader, чтобы быть в курсе обновлений на всех выбранных вами сайтах
Google выборочно цензурирует поисковую выдачу по просьбам правообладателей
По отдельным запросам, связанным, например, со "скачать", Google под поисковой выдачей (внизу страницы) стал отображать информацию такого вида:
"В ответ на жалобу, полученную на основании US Digital Millennium Copyright Act (Закона США о защите авторских прав в цифровую эпоху), мы удалили несколько результатов (а именно: *) с этой страницы. При желании можно ознакомиться с жалобой, вызвавшей это удаление, на сайте ChillingEffects.org".
Как сообщают "Ведомости", данная цензура и ограничение результатов выдачи связаны с удалением из результатов поиска ссылок на пиратские ресурсы по обращениям российских правообладателей без решения суда и не по запросам от властей. Примечательно, что основанием для цензуры является американский закон (DMCA), а не российские законы. Главный конкурентный поисковик Google в российском Интернете Yandex подобных цензурных ограничений не делает, что может привести к оттоку определенного контингента русскоязычных пользователей Google к последнему. Пресс-секретарь компании "Яндекс" Очир Манджиков прокомментировал ситуацию следующим образом: "Google действует на основании законодательства США, в российском законодательстве подобных требований нет. Поэтому удаление произвольно взятых результатов поиска будет, по сути, цензурой и нарушением права граждан на свободный поиск информации, гарантированного статьей 29 Конституции РФ".
понедельник, 25 апреля 2011 г.
Новый функционал загрузки файлов в Google Docs
Более подробно об этих функциях:
• Для последних версий браузеров Chrome, Firefox и Safari стала доступна возможность загрузки папок (с сохранением существующей структуры папок, включая подпапки, в коллекциях) через новое меню загрузки (для Firefox и Safari потребуется установка небольшого апплета).
• Функционал страницы загрузки объединен со списком документов и доступен через выпадающее меню (при использовании функции в окне в правом нижнем углу списка документов отображается прогресс загрузки). Настройки преобразования файлов в формат Google Docs или конвертации изображения для оптического распознавания символов (OCR) производятся через выпадающее меню загрузки или всплывающее окно. К сожалению, новые возможности загрузки не поддерживают возможности выбора языка при преобразовании документа с помощью OCR (Optical Character Recognition) или выброра настроек видимости перед загрузкой (для использования этих функций можно использовать старую версию загрузочной страницы, выбрав пункт "Основные..." из меню загрузки).
• При использовании Chrome, Safari или Firefox на Mac или PC доступна возможность перетаскивания (drag-and-drop) одного или нескольких файлов непосредственно в список документов или в коллекцию слева для начала загрузки (возможности загрузки методом drag-and-drop для папок нет в связи с браузерными ограничениями).
Отправлено пользователем Express через Google Reader:
источник: Docs Blog, Автор: Google Docs, дата: 25.04.11
Last November, we added the ability to drag and drop files from your desktop to the upload page, improving the ability to upload any file. Over the next few weeks, we're releasing three additional features to make it easy to upload files to Docs: folder upload, documents list integration, and drag-and-drop upload.
To start, we've added folder upload via the new Upload menu in the latest versions of Chrome, Firefox and Safari.
You'll need to install a small applet to use folder upload in Firefox and Safari. The existing folder structure is preserved on upload which means that folders within folders will also upload and become collections within collections.
Second, we've merged the upload page's functionality into the documents list to create a much better upload experience. When you upload files via the new drop-down menu, a window will pop up in the bottom right of your documents list and show upload progress.
Once files are uploaded, they will appear in your documents list within seconds. You can also share them from the pop-up. Uploaded files go into the currently selected collection and have visibility set to private unless the collection is shared.
Upload settings have also moved. The first time you use the new upload method, you'll see a pop-up asking you whether you want to convert files to the Google Docs format and if you want to convert images via Optical Character Recognition (OCR). You can always return to these settings via the drop down in the upload menu or the pop-up.
Lastly, if you are using Chrome, Safari and Firefox on your Mac or PC, you'll also be able to drag-and-drop one or more files directly into your documents list to initiate an upload. You can even drop files directly into a collection on the left. Note due to browser limitations it isn't possible to drag-and-drop folders directly into the documents list.
If you hit your storage limit, the upload will return an error and you'll need to delete files or purchase additional storage for Google Docs for $0.02 per GB per month ($0.25 per GB per year). Please note that the new upload capabilities don't support the ability to select a language when converting a document via OCR (Optical Character Recognition) or select visibility settings before upload. If you'd like to use these features, you can still use the older version of the upload page by choosing Basic... from the Upload menu.
We'll be rolling this out to everyone with personal Google Accounts over the next month in all Google Docs languages. Rapid Release Google Apps users can expect to see the feature rolled out shortly thereafter. You'll know when the features are available to you when you see a popup message at the top of your documents list.
If you have any additional questions about the upcoming changes to uploading files, check out our FAQ.
If you have any additional questions about the upcoming changes to uploading files, check out our FAQ.
Posted by: Mike Procopio, Software Engineer
Здесь вы можете:
- Подписаться на Docs Blog с помощью Google Reader
- Начать использовать Google Reader, чтобы быть в курсе обновлений на всех выбранных вами сайтах
Подписаться на:
Сообщения (Atom)
Сообщения
