Pratite nas preko RSS-aPwn2Own: Posle Chrome-a, uspešno hakovan i Internet Explorer
Vesti, 12.03.2012, 09:32 AM
Nakon uspešnog hakovanja Google-ovog brauzera Chrome, tim istraživača francuske firme prošle nedelje uspešno je hakovao i Microsoft-ov Internet Explorer 9 na računaru sa potpuno zakrpljenim Windows7 SP1.
Istraživači VUPEN-a iskoristili su dve prethodno nepoznate “zero-day” ranjivosti što im je omogućilo izvršavanje koda zaobilaženjem odbrambenih mehanizama brauzera.
Oni su zaobišli DEP i ASLR zaštitu Microsoft-ovog brauzera koristeći “heap overflow” ranjivost koja postoji u svim verzijama Internet Explorera, uključujući i najnoviju “consumer preview” verziju Intrenet Explorer 10. Potom su iskoristili “memory corruption” bag što je omogućilo izvršavanje koda izvan Protected Mode brauzera, koji je pandan sandboxu Google-ovog brauzera.
Ipak, istraživači VUPEN-a kažu da je hakovanje Internet Explorer-a bio priličan izazov s obzirom da im je bilo potrebno šest nedelja za pronalaženje bagova i pisanje exploita. Iako je, prema rečima istraživača, “memory corruption” bag samo jedna od mnogih slabosti brauzera koju su otkili tokom šestonedeljne pripreme za Pwn2Own takmičenje, hakovanje Internet Explorera 10 je bilo znatno teže zbog novih mehanizama zaštite koje je dodao Microsoft.
Dan pre nego što su uspešno hakovali Microsoft-ov brauzer, isti tim istraživača je hakovao i Chrome, takođe na Windows 7. VUPEN nije otkrio pojedinosti o ovom hakovanju pa iz Google-a sumnjaju da je iskorišćena slabost u izvornom kodu brauzera već da su istraživači VUPEN-ovog tima iskoristili ranjivost u Flash pluginu koji dolazi u paketu sa brauzerom.
Chrome je već u četvrtak, u roku kraćem od 24 časa, objavio i zakrpu za bag u svom brauzeru koji je otkrio Sergej Glazunov prvog dana Pwnium takmičenja koje se takođe održava u okviru konferencije posvećene bezbednosti CanSecWest-a u Vankuveru. Glazunov je za hakovanje Chrome-a osvojio nagradu u iznosu od 60000 dolara. Ukoliko istraživači VUPEN-a ne dokažu da su za hakovanje Chrome-a iskoristili bag u samom brauzeru, njih čeka samo utešna nagrada u iznosu od 20000 dolara koju dodeljuje Google.
Pwn2Own takmičenje se održava šestu godinu zaredom u okviru konferencije CanSecWest, a od ove godine u okviru iste konferencije se održava i takmičenje Pwnium koje sponzoriše Google.
Izdvojeno
Bluekit: novi AI alat za phishing napade zaobilazi MFA zaštitu
Istraživači iz Varonis Threat Lab-a otkrili su novi phishing-as-a-service alat pod nazivom Bluekit, koji značajno pojednostavljuje izvođenje napad... Dalje
Ekstenzije kao biznis model: 82 Chrome ekstenzije prodaju podatke više od 6,5 miliona korisnika
Istraživanje kompanije LayerX Security otkrilo je 82 Chrome ekstenzije prikupljaju i prodaju podatke korisnika, utičući na više od 6,5 miliona lju... Dalje
Telekom mreže se zloupotrebljavaju za tajno praćenje korisnika
Telekom infrastruktura koristi se za tajno praćenje lokacije korisnika, upozoravaju istraživači iz Citizen Lab-a. Prema izveštaju istraživačkog ... Dalje
Privatni režim nije bio privatan: Firefox i Tor omogućavali praćenje korisnika
Bezbednosni istraživači iz Fingerprinta otkrili su ranjivost u Firefox-u i pregledačima baziranim na njemu, uključujući Tor Browser, koja omoguć... Dalje
StealTok: lažne TikTok ekstenzije špijuniraju više od 130.000 korisnika
Više od 130.000 korisnika izloženo je riziku zbog lažnih TikTok downloader ekstenzija za Google Chrome i Microsoft Edge, koje prikupljaju osetljive... Dalje
Pratite nas
Nagrade
Prijatelji
