Kritická chyba v prohlížeči Chrome umožňuje spuštění škodlivého kódu

Francouzská bezpečnostní společnost Vupen přišla s tvrzením, podle kterého se jí podařilo “přelstít” ochranu v prohlížeči Chrome i Windows 7.

Reklama

Vupen ve svém videu demonstruje nový exploit, který může být jednoduše umístěn na webovou stránku. Pokud by se uživatel na takový web dostal, exploit by “sám stáhl Kalkulačku ze vzdáleného serveru a spustil ji mimo sandbox.” Kalkulačku z Windows Vupen ve videu použil jen jako příklad. Při reálném útoku by soubor “calc.exe” byl nahrazen něčím jiným. Zajímavé je, že exploit Vupenu prošel i přes dvoustupňovou ochranu Windows 7 - ASLR a DEP.

 

Chrome od svého vzniku vždy byl prohlížečem, v němž chybu jen tak někdo neobjevil. A to především kvůli jeho technologii sandbox, která je navržena tak, aby izolovala Chrome od zbytku systému, takže je pro hackera velmi obtížné spustit na počítači uživatele škodlivý kód. Chrome se stal například vítězem třech po sobě jdoucích hackerských soutěží Pwn2Own. Minulý rok tým ze společnosti Vupen v této soutěži vyhrál 15 000 dolarů za hacking prohlížeče Safari, který je (stejně jako Chrome) založen na enginu WebKit.

Vupen oznámil, že detaily exploitu nezveřejní. “Informace o tomto útoku budeme sdílet pouze se svými zákazníky jako součást našich služeb,” oznámil Vupen, který od minulého roku objevené chyby výrobcům neohlašuje, ale sdílí je pouze se svými platícími zákazníky. Google na oznámení Vupenu zatím nereagoval.

Zdroj: PCW

Tagy: 

Reklama

Přidat komentář