Pratite nas preko RSS-aHakovan Google Chrome: istraživači zaobišli sandbox browsera
Vesti, 11.05.2011, 11:04 AM
Istraživači francuske kompanije VUPEN otkrili su nekoliko nepoznatih ranjivosti u Google Chrome koje omogućavaju da se zaobiđe browser-ov sandbox, kao i ASLR i DEP mehanizmi zaštite posle čega napadač može da pokrene svoj kod na tako ranjivom računaru.
Iz kompanije kažu da neće objavljivati pojedinosti o bagovima koje su otkrili, a koji se nalaze u najnovijoj verziji browser-a za Windows 7. Oni su objavili i video snimak u kojem je pokazano kako funkcioniše napad u kome se koriste otkrivene ranjivosti u Chrome-u.
“Exploit (vidi u Rečniku: exploit) prikazan u ovom snimku je jedan od najsofisticiranijih kodova ikad viđenih i napisanih do sada s obzirom da zaobilazi sve bezbednosne mehanizme uključujući ASLR, DEP i Sandbox, on je “nečujan” (nema pucanja programa nakon izvršenja payload-a (vidi u Rečniku: payload), baziran na do sada neobjavljenim ranjivostima (“zero-day”) koje je otkrio VUPEN i funkcioniše na svim Windows sistemima (32-bitnim i x64),” kaže se u tekstu na veb sajtu kompanije.
“Ovaj video snimak pokazuje exploit na delu sa verzijom 11.0.696.65 Google Chrome-a, na Microsoft Windows 7 SP1 (x64). Korisnik je namamljen da poseti posebno napravljenu internet stranicu koja hostuje exploit koji će izvršavati različite zadatke, do konačnog preuzimanja programa Calculator sa posebne lokacije i njegovog pokretanja izvan sandbox-a.”
Novije verzije Chrome-a uključuju sandbox komponentu koja je dodata da bi se spečilo korišćenje browser-a za pokretanje štetnog koda u drugim programima na računaru. Google je pre godinu dana ponudio nagrade istraživačima koji otkriju i prijave kompaniji nove bagove. Najveća nagrada u iznosu od 3133,7 dolara je rezervisana za najozbiljnije programske propuste, uključujući i ovakve zahvaljujući kojima se zaobilazi sandbox u Chrome-u.
Međutim, kompanija VUPEN je pojedinosti o bagovima podelila samo sa svojim klijentima. Vladine agencije i vojni preduzimači se već izvesno vreme pojavljuju kao kupci bagova a novčana nadoknada koju ove organizacije plaćaju istraživačima za bagove može biti 20 pa i 30 puta veća od one koju nudi većina proizvođača softvera.
Izdvojeno
ClickFix napad: lažni ChatGPT Atlas krade lozinke pomoću “copy-paste” trika
ClickFix napadi beleže dramatičan rast od čak 517%. Iako naizgled jednostavan “copy-paste” trik, ovaj napad je postao je ozbiljna pretn... Dalje
Ažurirane ekstenzije za Chrome i Edge zarazile 4,3 miliona uređaja
Istraživači iz kompanije Koi Security upozoravaju na opsežnu i izuzetno dobro prikrivenu kampanju koja je zarazila uređaje 4,3 miliona korisnika v... Dalje
Procurelo 1,3 milijarde lozinki i 2 milijarde imejl adresa - proverite da li je i vaša među njima
Ako niste skoro proveravali da li su vaše lozinke negde procurele, sada je pravi trenutak. U javnosti se pojavilo 1,3 milijarde jedinstvenih lozinki ... Dalje
OpenAI potvrdio curenje podataka - ChatGPT nalozi bezbedni
OpenAI je potvrdio da je došlo do curenja podataka, ali ne zbog direktnog napada na njihove sisteme, već kompromitovanjem Mixpanel-a, analitičkog ... Dalje
Piratske kopije Battlefield 6 pune malvera
Istraživači iz Bitdefender Labs-a upozorili su na novu kampanju koja cilja gejmere koji su u potrazi za „besplatnim“ ili hakovanim verzi... Dalje
Pratite nas
Nagrade
Prijatelji
