1. Location:
  2. / Computer learning >> Datamaskin læring >> Nettleser >> Chrome >>

Google Chrome Sandbox Hacked

Google Chrome Sandbox hacket

To av de viktigste grunnene for å installere Google Chrome er nettleserens hastighet og sikkerhet. Spesielt sistnevnte med sin sandboxing tilnærming viste seg å være svært effektiv mot mange vanlige angrepsformer og hacking.

Selv sikkerhetseksperter på Pwn2Own konferansen var ikke i stand til å trenge gjennom Chrome forsvarssystem, de fleste ikke engang gidder å prøve.

VUPEN Forskning i går kunngjorde at en av deres sikkerhets lagene lyktes i å utnytte Google Chrome nettleser ved å rømme nettleseren sandkasse.

Sandkassen har blitt designet for å skille nettside innhold fra hverandre og nettleseren kjernen.

En video ble publisert som viser utnytte henhold Chrome 11.0.695.65, den siste stabile versjon av nettleseren. Operativsystemet i videoen er den 64-bits utgave av Windows 7.

Utviklerne åpner en spesielt forberedt lokale nettsted som etter en stund, utløser starten av Windows Kalkulator for å vise at sandkassen har vært penetrert. Kalkulatoren kjørte med de samme rettighetene som i nettleseren.

Ondsinnede hackere ville naturligvis bruke utnytte for et alvorlig angrep i stedet for å lansere kalkulatoren.

Hvordan virker det?
< p> brukeren er lurt til å besøke et spesiallaget nettside hosting utnytte som vil utføre ulike nyttelast til slutt laste ned Calculator fra en ekstern plassering og lansere den utenfor sandkassen på Medium integritetsnivå.

Mens Chrome har en av de mest sikre sandkasser og har alltid overlevd Pwn2Own konkurransen i løpet av de siste tre årene, har vi nå avdekket en pålitelig måte å kjøre vilkårlig kode på noen installasjon av Chrome til tross for sin sandkasse, ASLR og DEP.


Sikkerhetsproblemet er ikke bekreftet ennå av Google, og det er uklart om de to selskapene er i kontakt med hverandre. VUPEN har ikke postet skadelig kode eller et proof of concept demonstrasjon på deres hjemmeside.

Det er sannsynlig at vi vil se en rask oppdatering for å løse problemet i Chrome. VUPEN er svært vag på deres hjemmeside, og det er ikke klart om alle Chrome-versjoner som er berørt eller bare den stabile versjonen. Det er imidlertid sannsynlig at den utnytter fungerer på alle versjoner av Chrome.

Problemet kan bare brukes av angripere hvis en Chrome-brukere besøker en spesielt forberedt side på Internett. Selv om det er lite sannsynlig at en enkelt side utnytte problemet er allerede på nettet, kan det være en god idé å holde seg borte fra tvilsomme nettsteder for en stund.



Previous:
Next Page: