Pratite nas preko RSS-aHakovan Google Chrome: istraživači zaobišli sandbox browsera
Vesti, 11.05.2011, 11:04 AM
Istraživači francuske kompanije VUPEN otkrili su nekoliko nepoznatih ranjivosti u Google Chrome koje omogućavaju da se zaobiđe browser-ov sandbox, kao i ASLR i DEP mehanizmi zaštite posle čega napadač može da pokrene svoj kod na tako ranjivom računaru.
Iz kompanije kažu da neće objavljivati pojedinosti o bagovima koje su otkrili, a koji se nalaze u najnovijoj verziji browser-a za Windows 7. Oni su objavili i video snimak u kojem je pokazano kako funkcioniše napad u kome se koriste otkrivene ranjivosti u Chrome-u.
“Exploit (vidi u Rečniku: exploit) prikazan u ovom snimku je jedan od najsofisticiranijih kodova ikad viđenih i napisanih do sada s obzirom da zaobilazi sve bezbednosne mehanizme uključujući ASLR, DEP i Sandbox, on je “nečujan” (nema pucanja programa nakon izvršenja payload-a (vidi u Rečniku: payload), baziran na do sada neobjavljenim ranjivostima (“zero-day”) koje je otkrio VUPEN i funkcioniše na svim Windows sistemima (32-bitnim i x64),” kaže se u tekstu na veb sajtu kompanije.
“Ovaj video snimak pokazuje exploit na delu sa verzijom 11.0.696.65 Google Chrome-a, na Microsoft Windows 7 SP1 (x64). Korisnik je namamljen da poseti posebno napravljenu internet stranicu koja hostuje exploit koji će izvršavati različite zadatke, do konačnog preuzimanja programa Calculator sa posebne lokacije i njegovog pokretanja izvan sandbox-a.”
Novije verzije Chrome-a uključuju sandbox komponentu koja je dodata da bi se spečilo korišćenje browser-a za pokretanje štetnog koda u drugim programima na računaru. Google je pre godinu dana ponudio nagrade istraživačima koji otkriju i prijave kompaniji nove bagove. Najveća nagrada u iznosu od 3133,7 dolara je rezervisana za najozbiljnije programske propuste, uključujući i ovakve zahvaljujući kojima se zaobilazi sandbox u Chrome-u.
Međutim, kompanija VUPEN je pojedinosti o bagovima podelila samo sa svojim klijentima. Vladine agencije i vojni preduzimači se već izvesno vreme pojavljuju kao kupci bagova a novčana nadoknada koju ove organizacije plaćaju istraživačima za bagove može biti 20 pa i 30 puta veća od one koju nudi većina proizvođača softvera.
Izdvojeno
Malveri koji kradu podatke sa zaraženih računara šire se preko krekovanog softvera
Istraživači iz kompanije Trend Micro upozorili su da sajber kriminalci šire lažne instalacione programe prepune malvera koji kradu podatke sa zara... Dalje
DoubleClickjacking: Nova tehnika napada ugrožava onlajn naloge
.jpg)
Stručnjak za sajber bezbednost Paulos Jibelo pokazao je novu tehniku napada koja bi mogla značajno ugroziti bezbednost onlajn naloga. Reč je o napa... Dalje
Kad se ljubav ugasi promenite lozinke - istraživanje otkrilo alarmantne podatke o špijuniranju bivših partnera
Kada se veze okončaju, tuga nije jedini problem - u digitalnom dobu, problem su sve češće i deljeni uređaji, lozinke i onlajn nalozi. Prema istra... Dalje
Širom sveta nastavljeno čišćenje sistema zaraženih malverom PlugX
Tim za otkrivanje i istraživanje pretnji kompanije Sekoia, u saradnji sa međunarodnim vlastima, sproveo je kampanju dezinfekcije sa ciljem uklanjanj... Dalje
Hakovano 16 ekstenzija za Chrome, ugroženi podaci 600.000 korisnika
Najmanje 16 ekstenzija za Chrome kompromitovano je u phishing napadima na izdavače ekstenzija za veb pregledač u Chrome Web Store. Time su ugroženi... Dalje
Pratite nas
Nagrade
Prijatelji
