Pratite nas preko RSS-aHakovan Google Chrome: istraživači zaobišli sandbox browsera
Vesti, 11.05.2011, 11:04 AM
Istraživači francuske kompanije VUPEN otkrili su nekoliko nepoznatih ranjivosti u Google Chrome koje omogućavaju da se zaobiđe browser-ov sandbox, kao i ASLR i DEP mehanizmi zaštite posle čega napadač može da pokrene svoj kod na tako ranjivom računaru.
Iz kompanije kažu da neće objavljivati pojedinosti o bagovima koje su otkrili, a koji se nalaze u najnovijoj verziji browser-a za Windows 7. Oni su objavili i video snimak u kojem je pokazano kako funkcioniše napad u kome se koriste otkrivene ranjivosti u Chrome-u.
“Exploit (vidi u Rečniku: exploit) prikazan u ovom snimku je jedan od najsofisticiranijih kodova ikad viđenih i napisanih do sada s obzirom da zaobilazi sve bezbednosne mehanizme uključujući ASLR, DEP i Sandbox, on je “nečujan” (nema pucanja programa nakon izvršenja payload-a (vidi u Rečniku: payload), baziran na do sada neobjavljenim ranjivostima (“zero-day”) koje je otkrio VUPEN i funkcioniše na svim Windows sistemima (32-bitnim i x64),” kaže se u tekstu na veb sajtu kompanije.
“Ovaj video snimak pokazuje exploit na delu sa verzijom 11.0.696.65 Google Chrome-a, na Microsoft Windows 7 SP1 (x64). Korisnik je namamljen da poseti posebno napravljenu internet stranicu koja hostuje exploit koji će izvršavati različite zadatke, do konačnog preuzimanja programa Calculator sa posebne lokacije i njegovog pokretanja izvan sandbox-a.”
Novije verzije Chrome-a uključuju sandbox komponentu koja je dodata da bi se spečilo korišćenje browser-a za pokretanje štetnog koda u drugim programima na računaru. Google je pre godinu dana ponudio nagrade istraživačima koji otkriju i prijave kompaniji nove bagove. Najveća nagrada u iznosu od 3133,7 dolara je rezervisana za najozbiljnije programske propuste, uključujući i ovakve zahvaljujući kojima se zaobilazi sandbox u Chrome-u.
Međutim, kompanija VUPEN je pojedinosti o bagovima podelila samo sa svojim klijentima. Vladine agencije i vojni preduzimači se već izvesno vreme pojavljuju kao kupci bagova a novčana nadoknada koju ove organizacije plaćaju istraživačima za bagove može biti 20 pa i 30 puta veća od one koju nudi većina proizvođača softvera.
Izdvojeno
Da li su vaše lozinke među najslabijim lozinkama?
Analiza više od 19 milijardi procurelih lozinki otkrila je i dalje prisutnu, široko rasprostranjenu pojavu ponovne upotrebe slabih lozinki. Lozinke,... Dalje
Prevare sa „tajanstvenim kutijama“ kradu podatke sa platnih kartica i novac sa računa kupaca
Istraživači kompanije Bitdefender upozorili su veoma sofisticirane prevare putem pretplata, za koje sajber kriminalci koriste „neverovatno ube... Dalje
Nalozi trećine korisnika interneta hakovani prošle godine zbog slabe lozinke
.jpg)
Bar jedan onlajn nalog više od trećine (36%) ljudi prošle godine je hakovan zbog slabe ili ukradene lozinke, otkrilo je novo istraživanje FIDO al... Dalje
Google: Softverske ranjivosti nultog dana veoma tražene i sve ih je lakše nabaviti, a evo ko ih i zašto koristi
.jpg)
Sajber kriminalci su koristili najmanje 75 bezbednosnih ranjivosti za koje proizvođači softvera nisu znali - takozvane nulte ranjivosti - otkriva iz... Dalje
Microsoft glavna meta fišing napada, Mastercard se vratio na listu najčešće zloupotrebljavanih brendova
Microsoft je i dalje brend koji se najviše zloupotrebljava u fišing napadima. Ime tehnološkog giganta pojavljuje se u više od trećine (36%) svih ... Dalje
Pratite nas
Nagrade
Prijatelji
