Jump to content
Forum Kopalni Wiedzy
Sign in to follow this  
KopalniaWiedzy.pl

Chrome pierwszą ofiarą hackerów

Recommended Posts

Zaoferowana przez Google’a nagroda za złamanie zabezpieczeń Chrome’a zachęciła hackerów do działania. Przeglądarka Google’a jako pierwsza poddała się uczestnikom konkursu Pwn2Own. W ubiegłym roku żaden z hackerów nie próbował się do niej włamać. Tym razem było inaczej i nie pomogło łatanie przeglądarki na kilka dni przed konkursem. Współzałożyciel francuskiej firmy VUPEN Chaouki Bekrar i jego zespół wykorzystali dwie dziury typu zero-day w Chrome do przejęcia kontroli nad komputerem z w pełni załatanym 64-bitowym Windows 7.

Bekrar powiedział, że znalezienie dziur i napisanie odpowiedniego kodu zajęło 6 tygodni. Musieliśmy użyć dwóch dziur. Za pomocą pierwszej obeszliśmy technologie zabepieczające DEP i ASLR w Windows, a druga umożliwiła nam wyjście poza „piaskownicę“ Chrome’a. Nie chciał zdradzić, czy luka działa na kodzie Google’a czy firmy trzeciej. To była dziura typu use-after-free [związana z nieprawidłowa alokacją pamięci po jej zwolnieniu - red.] w domyślnej instalacji Chrome’a. Nasz kod działa na domyślnej instlacji, więc nie ma znaczenia, czy wykorzystuje on [dostarczony wraz z przeglądarką - red.] kod firmy trzeciej - mówi.

Podczas demonstracji Bekrar stworzył spreparowaną witrynę, a gdy odwiedzono ją za pomocą komputera wyposażone w Chrome, doszło do automatycznego ataku i otwarcia Kalkulatora poza „piaskownicą“. Nie jest wymagana żadna interakcja ze strony użytkownika, żadne dodatkowe kliknięcia. Wchodzimy na stronę i program jest uruchamiany.

Bekrar pochwalił jednocześnie Chrome’a. Jego zdaniem Google stworzył bardzo bezpieczny sandbox i Chrome jest jedną z najbezpieczniejszych przeglądarek.

Drugą przeglądarką, która poddała się atakom, była Safari zainstalowana w systemie Mac OS X. Również i ona padła ofiarą ekspertów z VUPEN. Atak przeprowadzono w zaledwie 5 sekund, co każe poważnie zastanowić się nad prawdziwością poglądu, jakoby Mac OS X był bezpieczniejszy od Windows. Zdaniem hackerów, wcale tak nie jest. System Apple’a nie dość, że korzysta tylko z technologii ASLR, a nie używa DEP, to dodatkowo jest ona źle zaimplementowana. Ataku na Safari dokonano za pośrednictwem silnika WebKit, który zawiera wiele dziur. Co prawda z WebKita korzysta też Chrome, jednak Google znacznie poprawił kod silnika, dzięki czemu jego przeglądarka jest bezpieczniejsza.

Share this post


Link to post
Share on other sites

spryciule z google pięknie zaoszczędzili - lepiej (motywacja!) i taniej wydać trochę kasy na nagrodę i "zatrudnić" w ten sposób kilka tysięcy ludzi niż zapłacić kilku tysiącom . brawo :)

Share this post


Link to post
Share on other sites

spryciule z google pięknie zaoszczędzili - lepiej (motywacja!) i taniej wydać trochę kasy na nagrodę i "zatrudnić" w ten sposób kilka tysięcy ludzi niż zapłacić kilku tysiącom . brawo :)

 

To dość często stosowany sposób na test bezpieczeństwa. Bardziej odpowiada Ci sprzedawanie wczesnej bety, przerzucenie kosztów testowania na użytkowników i naprawianie za pomocą service packów?

Share this post


Link to post
Share on other sites

Jeśli dobrze więc zrozumiałem, to złamano raczej Windowsa a nie Chroma. Zresztą mnie to nie dziwi, jeśli piaskownica jest dobrze napisana to nie ma możliwości wyjść poza nią

Share this post


Link to post
Share on other sites

Debilizm. Skoro korzysta się z systemu, skoro android przysparza zwolenników wolnego internetu, to po co idioci to psują?

Share this post


Link to post
Share on other sites

Jeśli dobrze więc zrozumiałem, to złamano raczej Windowsa a nie Chroma. Zresztą mnie to nie dziwi, jeśli piaskownica jest dobrze napisana to nie ma możliwości wyjść poza nią

Źle zrozumiałeś złamali chroma i jego sandboxa a dopiero później obeszli zabezpieczenia W7

 

Szkoda że niema po raz kolejny Opery... heh niema to jak tłumaczenie że ma zbyt niski udział na rynku ; )

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Similar Content

    • By KopalniaWiedzy.pl
      Hakerzy aktywnie wykorzystują dziurę we wbudowanym w Chrome czytników PDF-ów. Dziura daje napastnikowi dostęp do takich informacji jak adres IP komputera, dane o wersji systemu operacyjnego, wersji Chrome'a czy pełną ścieżkę dostępu do pliku PDF.
      Wiadomo, że złośliwe PDF-y wykorzystujące lukę pojawiły się już w grudniu ubiegłego roku. Gdy użytkownik otworzy taki plik, informacje na temat komputera są przesyłane na serwer napastnika. Na szczęście dziura nie pozwala na kradzież haseł, co było możliwe dzięki niedawno odkrytej luce w Adobe Readerze.
      Odkrywcy dziury poinformowali Google'a o problemie pod koniec grudnia. W lutym firma odpowiedziała, że wyda łatę do końca kwietnia. W takiej sytuacji firma, która znalazła dziurę zdecydowała się o niej poinformować wcześniej. Użytkownicy Chrome'a powinni korzystać z alternatywnego czytnika PDF lub też odłączać komputer od sieci podczas otwierania pliku PDF za pomocą Chrome'a.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Tesla jest kolejną, obok Microsoftu, Oracle'a, Adobe i VMware, firmą, która postanowiła skonfrontować swój produkt z umiejętnościami hakerów biorących udział w zawodach Pwn2Own, które odbędą się w marcu.
      Nagrody pieniężne za przełamanie zabezpieczeń Tesli Model 3 wahają się od 35 000 do 250 000 dolarów. Uczestnicy mogą też wygrać samochód. Najwyższą nagrodę, 250 000 dolarów, przewidziano dla osoby, przełamie zabezpieczenia Tesla Gateway, Autopilota lub VCSEC (Vehicle Controller Secondary) i przyzna sobie prawa do wykonywania programów.
      Za udany atak na modem lub tuner w Tesli przewidziano 100 000 USD, a za atak typu DoS na Autopilota będzie można zdobyć 50 000 dolarów. Za złamanie zabezpieczeń kluczyka lub wykorzystanie smartfonu w roli kluczyka otrzymamy 100 000 dolarów. Tyle samo zarobimy, jeśli uda się nam przejąć kontrolę nad magistralą CAN (Controller Area network). Tesla zapłaci też do 50 000 dolarów za takie przełamanie zabezpieczeń, które da nam kontrolę administracyjną nad danym komponentem nawet po przeładowaniu systemu.
      Duże pieniądze można będzie zarobić nie tylko atakując samochód Tesli. Microsoft zaoferował 250 000 USD za każdy udany atak na klienta Hyper-V, podczas którego zwiększymy swoje uprawnienia z klienta do hosta. To niezwykle ważny element w strategii Microsoftu, który coraz mocnej inwestuje w chmury komputerowe, dlatego też firmie szczególnie zależy na bezpieczeństwie Hyper-V. Byłoby dla niej katastrofą, gdyby pojawiła się publicznie znana dziura pozwalająca na przejęcie klientowi kontroli nad hostem. Dlatego też koncern poddaje swoje produkty testom podczas Pwn2Own.
      WMware, które specjalizuje się w oprogramowaniu do wirtualizacji postanowiło poddać próbie VMware ESXi oraz WMware Workstation. Za przełamanie ich zabezpieczeń firma płaci, odpowiednio, 150 000 i 70 000 dolarów. Z kolei firma Oracle zaoferowała 35 000 dolarów za załamanie zabezpieczeń swojego VirtualBox.
      Hakerzy będą mogli też spróbować swoich sił przeciwko przeglądarkom, Windows Defender Application Guard, Microsoft Outlook czy Adobe Reader.
      Ponadto autor pierwszego udanego ataku podczas Pwn2Own również otrzyma Teslę Model 3.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Google potwierdził, że ma zamiar stworzyć przeglądarkę Chrome z interfejsem Metro. Mozilla już od pewnego czasu pracuje nad Firefoksem z Metro. Oświadczenie Google’a ma spore znaczenie, gdyż oznacza, że producenci jednych z najpopularniejszych programów uznali platformę Windows 8 za wartą zainteresowania.
      „Naszym celem jest zaoferowanie użytkownikom szybkiej, prostej i bezpiecznej przeglądarki działającej na wszystkich platformach, w tym na Windows 8 zarówno wersji dla desktopów, jak i z interfejsem Metro. Budujemy wersję Metro przeglądarki Chrome oraz przystosowujemy desktopowego Chrome’a do współpracy z Windows 8, co oznacza np. rozbudowanie możliwości używania przeglądarki na wyświetlaczach dotykowych“ - oświadczył rzecznik prasowy Google’a.
      Udostępniona przez Microsoft wersja Beta systemu Windows 8 została wyposażona w dwie wersje przeglądarki Internet Explorer 10. Jedną z internfejsem Metro, która nie zawiera żadnych wtyczek oraz wersję tradycyjną, wyposażoną we wtyczki firm trzecich.
      Mozilla jest na wczesnym etapie tworzenia Firefoksa z Metro. „Nasza praca podzielona jest na etapy. Obecnie mamy prototyp. Nie sądzę, byśmy w bieżącym roku mogli zaprezentować wersję beta“ - mówi Asa Dotzler, menedżer produktu Mozilli.
      W udostępnionych dokumentach Microsoft zawarł zalecenia dla przeglądarek z interfejsem Metro. Powinny one obsługiwać HTML5, HTTP i HTTPS. Będą miały pełny dostęp do API Win32 i wielu innych funkcji systemowych potrzebnych do renderowania HTML5.
      Fakt, że Google i Mozilla tworzą wersje swoich przeglądarek z Metro oznacza z jednej strony, że Internet Explorer będzie miał konkurencję, jednak z drugiej jest to sygnał dla developerów, iż warto zainwestować w tę platformę.
      Obecnie nie wiadomo, czy Chrome i Firefox z Metro trafią na tablety korzystające z wersji Windows for ARM (WOA). O ile bowiem dystrybucja programów dla Windows dla procesorów x86 nie ulegnie żadnej zmianie, to dla WOA będą one rozpowszechniane wyłącznie za pośrednictwem microsoftowego sklepu z aplikacjami. Niewykluczone jednak, że Microsoft, czy to z własnej woli czy zmuszony przez urzędy antymonopolowe, będzie oferował także produkty konkurencji.
    • By KopalniaWiedzy.pl
      Google potwierdził, że ma zamiar stworzyć przeglądarkę Chrome z interfejsem Metro. Mozilla już od pewnego czasu pracuje nad Firefoksem z Metro. Oświadczenie Google’a ma spore znaczenie, gdyż oznacza, że producenci jednych z najpopularniejszych programów uznali platformę Windows 8 za wartą zainteresowania.
      „Naszym celem jest zaoferowanie użytkownikom szybkiej, prostej i bezpiecznej przeglądarki działającej na wszystkich platformach, w tym na Windows 8 zarówno wersji dla desktopów, jak i z interfejsem Metro. Budujemy wersję Metro przeglądarki Chrome oraz przystosowujemy desktopowego Chrome’a do współpracy z Windows 8, co oznacza np. rozbudowanie możliwości używania przeglądarki na wyświetlaczach dotykowych“ - oświadczył rzecznik prasowy Google’a.
      Udostępniona przez Microsoft wersja Beta systemu Windows 8 została wyposażona w dwie wersje przeglądarki Internet Explorer 10. Jedną z internfejsem Metro, która nie zawiera żadnych wtyczek oraz wersję tradycyjną, wyposażoną we wtyczki firm trzecich.
      Mozilla jest na wczesnym etapie tworzenia Firefoksa z Metro. „Nasza praca podzielona jest na etapy. Obecnie mamy prototyp. Nie sądzę, byśmy w bieżącym roku mogli zaprezentować wersję beta“ - mówi Asa Dotzler, menedżer produktu Mozilli.
      W udostępnionych dokumentach Microsoft zawarł zalecenia dla przeglądarek z interfejsem Metro. Powinny one obsługiwać HTML5, HTTP i HTTPS. Będą miały pełny dostęp do API Win32 i wielu innych funkcji systemowych potrzebnych do renderowania HTML5.
      Fakt, że Google i Mozilla tworzą wersje swoich przeglądarek z Metro oznacza z jednej strony, że Internet Explorer będzie miał konkurencję, jednak z drugiej jest to sygnał dla developerów, iż warto zainwestować w tę platformę.
      Obecnie nie wiadomo, czy Chrome i Firefox z Metro trafią na tablety korzystające z wersji Windows for ARM (WOA). O ile bowiem dystrybucja programów dla Windows dla procesorów x86 nie ulegnie żadnej zmianie, to dla WOA będą one rozpowszechniane wyłącznie za pośrednictwem microsoftowego sklepu z aplikacjami. Niewykluczone jednak, że Microsoft, czy to z własnej woli czy zmuszony przez urzędy antymonopolowe, będzie oferował także produkty konkurencji.
    • By KopalniaWiedzy.pl
      Kara, którą sam sobie wymierzył Google, okazała się dotkliwa dla przeglądarki Chrome. Jej rynkowe udziały spadły, zyskały natomiast Internet Explorer i Firefox.
      Jeszcze w grudniu dotychczasowy trend wśród przeglądarek utrzymywał się. Chrome zyskiwał, jego najwięksi konkurenci tracili. W listopadzie, według Net Applications, do IE należało 52,64% rynku, a w grudniu odsetek ten spadł do 51,87%. W tym samym czasie udziały Firefoksa zmniejszyły się z 22,14% do 21,83%. Chrome zwiększył swój stan posiadania z 18,18% do 19,11%.
      Jednak na początku stycznia Google ukarał się za wpadkę z płatnymi linkami w swojej wyszukiwarce zmniejszając Page Rank witryny Chrome’a do 0.
      Od razu zyskał na tym Internet Explorer, którego udziały zwiększyły się do 52,96%. Firefox znowu spadł do 20,88%, ale spadły też udziały Chrome’a, który stracił 0,17 punkta procentowego. W lutym udziały Chrome’a zmniejszyły się do 18,90%. Spadł też - o 0,12 pp - Internet Explorer. Zyskał za to Firefox, do którego należy obecnie 20,92% rynku.
      Obserwując rynkowe trendy można stwierdzić, że gdyby Google się nie ukarał, to w lutym miałby szansę ostatecznie przegonić Firefoksa i zostać drugą najpopularniejszą przeglądarką na świecie.
×
×
  • Create New...