Новости IT, хостинга
  Android, Apple, Facebook, Google, Linux, Microsoft, Samsung, Twitter, Интернет, Россия, браузеры, обновление ПО, онлайн-сервисы, операционные системы, планшеты, рынок ИТ, сделки, смартфоны, социальные сети, уязвимости  
  новостей: 10337
  комментариев: 2803

На соревновании Mobile Pwn2Own продемонстрирован успешный взлом браузера Chrome


Подведены итоги очередного соревнования Mobile Pwn2Own, в рамках которого были представлены рабочие эксплоиты для ранее неизвестных уязвимостей в мобильных версиях браузеров Chrome, IE 11 и Safari. Успешные атаки были продемонстрированы для Android-версии Chrome на смартфонах Nexus 4 и Samsung Galaxy S4, IE 11 на планшете Surface Pro с Windows 8.1, а также для Safari на iPhone 5.

Во всех случаях атака была совершена при обработке в браузере специально оформленной web-страницы. При демонстрации атак использовались самые свежие стабильные выпуски браузеров и операционных систем со всеми доступными обновлениями в конфигурации по умолчанию. Компания Google уже оперативно выпустила обновление Chrome 31.0.1650.57, в котором устранены выявленные критические уязвимости (уязвимости не специфичны для мобильной версии и также проявляются в Chrome для Linux, OS X и Windows).

Взлом Chrome продемонстрировал исследователь безопасности, выступающий под псевдонимом Pinkie Pie, который принимал участие в соревновании в прошлом и позапрошлом годах, но смог продемонстрировать лишь прототипы эксплоитов, не доведя их до полностью рабочего состояния, за что получил сокращённый размер премий, в сумме составивших 100 тысяч долларов.

На этот раз удача улыбнулась Pinkie Pie и взлом был продемонстрирован успешно. Из призового фонда соревнования Pwn2Own данный участник получил 50 тысяч долларов, плюс 50 тысяч долларов в качестве отдельной премии от Google. Представленный эксплоит оперирует двумя ранее неизвестными уязвимостями в Chrome (целочисленное переполнение и обход sandbox-ограничений) и позволяет выполнить произвольный код в системе после открытия специально оформленной страницы. Подробности с описанием метода совершения атаки будут публично опубликованы позднее, после того как обновление с устранением уязвимости будет доставлено до пользователей.

На соревновании также была продемонстрирована техника скрытой установки на Android-смартфон троянской программы, имеющей доступ к конфиденциальным данным пользователя (SMS, адресная книга, история посещений в браузере). Атака была направлена на поражение нескольких пользовательских приложений, по умолчанию поставляемых в смартфоне Samsung Galaxy S4 (для успешной атаки требуется открыть специально подготовленную страницу и нажать на ссылку). Техника атаки подготовлена группой японских исследователей, которые получили вознаграждение в размере 40 тысяч долларов.


Источник: opennet.ru

  18 ноября 2013 586
Версия для печати

← предыдущая новость следующая новость →

Мой комментарий
Ваше имя*:
Email:
Комментарий*:
Зарегистрироваться автоматически: Вы будете зарегистрированы на сайте автоматически при добавлении комментария. Обязательно заполните поле Email для этого.
Сумма чисел 4 и 17*:            


Хостеры (2430)
HostDB (35)
Софт (2640)
Железо (993)
Интернет (1435)
Статистика и аналитика (3324)




Отправить сообщение администратору

Сумма чисел 25 и 7*:


Яндекс цитирования
сообщить о неточности