Pratite nas preko RSS-aPwn2Own: Posle Chrome-a, uspešno hakovan i Internet Explorer
Vesti, 12.03.2012, 09:32 AM
Nakon uspešnog hakovanja Google-ovog brauzera Chrome, tim istraživača francuske firme prošle nedelje uspešno je hakovao i Microsoft-ov Internet Explorer 9 na računaru sa potpuno zakrpljenim Windows7 SP1.
Istraživači VUPEN-a iskoristili su dve prethodno nepoznate “zero-day” ranjivosti što im je omogućilo izvršavanje koda zaobilaženjem odbrambenih mehanizama brauzera.
Oni su zaobišli DEP i ASLR zaštitu Microsoft-ovog brauzera koristeći “heap overflow” ranjivost koja postoji u svim verzijama Internet Explorera, uključujući i najnoviju “consumer preview” verziju Intrenet Explorer 10. Potom su iskoristili “memory corruption” bag što je omogućilo izvršavanje koda izvan Protected Mode brauzera, koji je pandan sandboxu Google-ovog brauzera.
Ipak, istraživači VUPEN-a kažu da je hakovanje Internet Explorer-a bio priličan izazov s obzirom da im je bilo potrebno šest nedelja za pronalaženje bagova i pisanje exploita. Iako je, prema rečima istraživača, “memory corruption” bag samo jedna od mnogih slabosti brauzera koju su otkili tokom šestonedeljne pripreme za Pwn2Own takmičenje, hakovanje Internet Explorera 10 je bilo znatno teže zbog novih mehanizama zaštite koje je dodao Microsoft.
Dan pre nego što su uspešno hakovali Microsoft-ov brauzer, isti tim istraživača je hakovao i Chrome, takođe na Windows 7. VUPEN nije otkrio pojedinosti o ovom hakovanju pa iz Google-a sumnjaju da je iskorišćena slabost u izvornom kodu brauzera već da su istraživači VUPEN-ovog tima iskoristili ranjivost u Flash pluginu koji dolazi u paketu sa brauzerom.
Chrome je već u četvrtak, u roku kraćem od 24 časa, objavio i zakrpu za bag u svom brauzeru koji je otkrio Sergej Glazunov prvog dana Pwnium takmičenja koje se takođe održava u okviru konferencije posvećene bezbednosti CanSecWest-a u Vankuveru. Glazunov je za hakovanje Chrome-a osvojio nagradu u iznosu od 60000 dolara. Ukoliko istraživači VUPEN-a ne dokažu da su za hakovanje Chrome-a iskoristili bag u samom brauzeru, njih čeka samo utešna nagrada u iznosu od 20000 dolara koju dodeljuje Google.
Pwn2Own takmičenje se održava šestu godinu zaredom u okviru konferencije CanSecWest, a od ove godine u okviru iste konferencije se održava i takmičenje Pwnium koje sponzoriše Google.
Izdvojeno
Malver u torentu novog filma Leonarda Dikaprija
Istraživači kompanije Bitdefender otkrili su da torent fajl za novi film Leonarda Dikaprija „Jedna bitka za drugom“ (One Battle After An... Dalje
Grok otkriva kućne adrese običnih ljudi i daje savete za uhođenje
Grok, AI četbot kompanije xAI Elona Maska, ponovo je pokazao zabrinjavajuće ponašanje, ovog puta tako što je na zahtev korisnika otkrivao kućne a... Dalje
Predator: najopasniji špijunski softver na svetu se instalira preko običnih oglasa
Jedan jedini oglas učitan na sasvim legitimnom sajtu ili u aplikaciji dovoljan je da instalira Intellexin Predator, jedan od najnaprednijih komercija... Dalje
ClickFix napad: lažni ChatGPT Atlas krade lozinke pomoću “copy-paste” trika
ClickFix napadi beleže dramatičan rast od čak 517%. Iako naizgled jednostavan “copy-paste” trik, ovaj napad je postao je ozbiljna pretn... Dalje
Ažurirane ekstenzije za Chrome i Edge zarazile 4,3 miliona uređaja
Istraživači iz kompanije Koi Security upozoravaju na opsežnu i izuzetno dobro prikrivenu kampanju koja je zarazila uređaje 4,3 miliona korisnika v... Dalje
Pratite nas
Nagrade
Prijatelji
