Πέμπτη 8 Μαρτίου 2012

Pwn2Own 2012: Ο Google Chrome ο πρώτος που «έπεσε»



Στον περσινό διαγωνισμό για hackers, CanSecWest Pwn2Own ,o Google Chrome ήταν ο μόνος browser που δεν παραβιάστηκε. Φέτος, ο Chrome ήταν ο πρώτος που «έπεσε», χάρη σε ένα εντυπωσιακό σφάλμα που εντόπισαν και εκμεταλλεύτηκαν μια ομάδα Γάλλων ειδικών ασφάλειας – hackers.

Η VUPEN, μια πολυσυζητημένη εταιρεία που πουλάει εργαλεία εντοπισμού σφαλμάτων σε λογισμικό κυβερνητικών πελατών, στόχευσε φέτος στον Chrome και έστειλε σε όλους ένα μήνυμα: …..

... Δεν υπάρχει λογισμικό το οποίο δεν παραβιάζεται, εάν οι hackers έχουν αρκετά κίνητρα για να προετοιμαστούν και να εξαπολύσουν την επίθεση....

Ο συν-ιδρυτής της VUPEN και επικεφαλής της ερευνητικής ομάδας, Chaouki Bekrar χρησιμοποίησαν δύο ευπάθειες zero-day [ who is who ? ] για να πάρουν τον πλήρη έλεγχο ενός πλήρως ενημερωμένου υπολογιστή που χρησιμοποιούσε 64-bit Windows 7 (SP1).

Στα πλαίσια του διαγωνισμού, η VUPEN κέρδισε 32 πόντους για την επιτυχή εκμετάλλευση του Chrome. Σε μια συνέντευξη, ο Bekrar είπε ότι η ομάδα του εργάστηκε περίπου έξι εβδομάδες για να εντοπίσουν τα ευπαθή σημεία και να προετοιμάσουν τη μέθοδο επίθεσης.

Χαρακτηριστικά σε δήλωση του αναφέρει:

«Έπρεπε να χρησιμοποιήσουμε δύο ευπάθειες. Η πρώτη ήταν για να παρακάμψουμε το DEP και το ASLR στα Windows και η δεύτερη για να παραβιάσουμε το sandbox του Chrome.»

secnews.gr

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου

Σημείωση: Μόνο ένα μέλος αυτού του ιστολογίου μπορεί να αναρτήσει σχόλιο.