Pratite nas preko RSS-aPwn2Own: Posle Chrome-a, uspešno hakovan i Internet Explorer
Vesti, 12.03.2012, 09:32 AM
Nakon uspešnog hakovanja Google-ovog brauzera Chrome, tim istraživača francuske firme prošle nedelje uspešno je hakovao i Microsoft-ov Internet Explorer 9 na računaru sa potpuno zakrpljenim Windows7 SP1.
Istraživači VUPEN-a iskoristili su dve prethodno nepoznate “zero-day” ranjivosti što im je omogućilo izvršavanje koda zaobilaženjem odbrambenih mehanizama brauzera.
Oni su zaobišli DEP i ASLR zaštitu Microsoft-ovog brauzera koristeći “heap overflow” ranjivost koja postoji u svim verzijama Internet Explorera, uključujući i najnoviju “consumer preview” verziju Intrenet Explorer 10. Potom su iskoristili “memory corruption” bag što je omogućilo izvršavanje koda izvan Protected Mode brauzera, koji je pandan sandboxu Google-ovog brauzera.
Ipak, istraživači VUPEN-a kažu da je hakovanje Internet Explorer-a bio priličan izazov s obzirom da im je bilo potrebno šest nedelja za pronalaženje bagova i pisanje exploita. Iako je, prema rečima istraživača, “memory corruption” bag samo jedna od mnogih slabosti brauzera koju su otkili tokom šestonedeljne pripreme za Pwn2Own takmičenje, hakovanje Internet Explorera 10 je bilo znatno teže zbog novih mehanizama zaštite koje je dodao Microsoft.
Dan pre nego što su uspešno hakovali Microsoft-ov brauzer, isti tim istraživača je hakovao i Chrome, takođe na Windows 7. VUPEN nije otkrio pojedinosti o ovom hakovanju pa iz Google-a sumnjaju da je iskorišćena slabost u izvornom kodu brauzera već da su istraživači VUPEN-ovog tima iskoristili ranjivost u Flash pluginu koji dolazi u paketu sa brauzerom.
Chrome je već u četvrtak, u roku kraćem od 24 časa, objavio i zakrpu za bag u svom brauzeru koji je otkrio Sergej Glazunov prvog dana Pwnium takmičenja koje se takođe održava u okviru konferencije posvećene bezbednosti CanSecWest-a u Vankuveru. Glazunov je za hakovanje Chrome-a osvojio nagradu u iznosu od 60000 dolara. Ukoliko istraživači VUPEN-a ne dokažu da su za hakovanje Chrome-a iskoristili bag u samom brauzeru, njih čeka samo utešna nagrada u iznosu od 20000 dolara koju dodeljuje Google.
Pwn2Own takmičenje se održava šestu godinu zaredom u okviru konferencije CanSecWest, a od ove godine u okviru iste konferencije se održava i takmičenje Pwnium koje sponzoriše Google.
Izdvojeno
Vidar 2.0: Majstor digitalne krađe širi se među gejmerima sa GitHuba i Reddita
Istraživači iz Acronis TRU upozoravaju na novu kampanju koja cilja pre svega mlađe gejmere, koristeći lažne varalice za popularne igre poput Fort... Dalje
INTERPOL upozorava: veštačka inteligencija podstiče finansijske prevare širom sveta
Novi izveštaj INTERPOL-a ukazuje na ubrzanu evoluciju globalnih finansijskih prevara, koje postaju sve sofisticiranije zahvaljujući veštačkoj inte... Dalje
Kalendarske pozivnice postaju novi alat za krađu podataka
Sajber kriminalci sve češće zloupotrebljavaju kalendarske pozivnice kako bi zaobišli inbox i direktno isporučili lažne fakture žrtvama, upozora... Dalje
Napadi na Signal naloge širom sveta: hakeri koriste poznate trikove socijalnog inženjeringa
Signal je upozorio na ciljane napade u kojima hakeri preuzimaju korisničke naloge putem socijalnog inženjeringa, dok sama enkripcija i infrastruktur... Dalje
Hakeri na dark webu prodaju alat za zloupotrebu zakrpljene Windows ranjivosti za 220.000 dolara
Na jednom hakerskom forumu na dark webu pojavio se oglas za prodaju eksploita za zakrpljenu Windows ranjivost po ceni od 220.000 dolara, objavljen u d... Dalje
Pratite nas
Nagrade
Prijatelji
