wtorek, 10 maja 2011

Ekslpoit omijający sandbox w Chrome 11.

Chrome jest uznawane za przeglądarkę w której najtrudniej obejść zabezpieczenia, głównie z uwagi na technologię sandbox, która oddziela ją do reszty systemu. Na tegorocznym konkursie hakerskim Pwn2Own nikomu nie udało się jej pokonać. Mimo nagród oferowanych przez HP Tipping Point oraz 20 000 dolarów, które dodatkowo przygotowało Google, nikt nie zdołał obejść zabezpieczeń Chrome.

Francuska firma Vupen zajmująca się badaniem luk bezpieczeństwa podała, że odkryła sposób na zhakowanie aktualnej wersji stabilnej Google Chrome. Znaleziony eksploit omija nie tylko zabezpieczenia przeglądarki (w czym do tej pory skuteczny był sandbox), ale także technologie zabezpieczające Windows 7.

Badacze z Vupen mówią, że to jeden z najbardziej zaawansowanych kodów jaki powstał do tej pory. Exploit radzi sobie z technologiami ASLR i DEP należącymi do zabezpieczeń Windows 7 oraz omija sandbox przeglądarki Chrome. Oprócz tego, działa po cichu i nie prowadzi do przerwy w pracy atakowanego komputera. Opiera się na nieujawnionych lukach zero-day i działa na wszystkich systemach Windows.

Vupen umieściło na YouTube film demonstrujący działanie ich exploita. Może on zaatakować ze strony internetowej, a po uruchomieniu złośliwego kodu daje hakerowi możliwość działania poza sandboksem. W prezentacji wideo, badacze otworzyli Kalkulator Windows, ale oznacza to, że mogą wykonać znacznie bardziej niebezpieczne czynności.


Źródło NetWorld

1 komentarze:

Sergiusz Olszewski pisze...

Chhmm nie wiem, na ile to prawda, ale wydaje mi się, że to może być fejk... mam na klawiaturze przycisk uruchamiający kalkulator... (nie mówiąc już o skrótach klawiszowych). "Myślące" kółeczko? Jakiś skrypt, czy też flash.. zresztą całość tak klatkuje, że...

Prześlij komentarz