Google Chrome был взломан хакерами

393

В городе Ванкувер, проходит, уже ставшая ежегодной, конференция CanSecWest, которая затрагивает вопросы компьютерной безопасности. В рамках данной конференции проходил конкурс среди хакеров Pwn2Own.

В день открытия соревнований хакеры преподнесли сюрприз компании Google, в виде нескольких успешных взломов браузера Google Chrome 17 даже в стабильной версии. Самый первый подарок преподнес российский специалист Сергей Глазунов, выполнивший произвольный код программы для обхода ограничений «песочницы».Всего несколько ошибок, из-за которых можно было подменить список ссылок в истории посещаемых веб-страниц, стали причиной успешного взлома. Сергей нашел функции, доступные для веб-страниц, но неконтролируемые системой защиты браузера Chrome. Благодаря чему, был успешно запущен программный код в среде браузера, запущенном на 64-битной версии ОС Windows 7, со всеми критическими обновлениями безопасности. Компания Google вручила Сергею Глазунову 60 тыс. долларов за найденные бреши в защите.

Благодаря этому, Google уже выпустила официальное обновление для своего веб-браузера, которое исправляет найденные недочеты. Данное обновление уже доступно для загрузки на сайте компании или через автоматическое обновление.

Вторая дыра в защите была обнаружена французской группой специалистов по компьютерной безопасности VUPEN. Они также смогли запустить сторонний программный код, в обход ограничений «песочницы» браузера. Для успешного обхода защиты Google Chrome, хакеры применили технологии двух эксплойтов, первый запускался в ОС Windows для обхода контроля над памятью DEP и ASLR, второй непосредственно загружал вредоносный код и спокойно запускал его учитывая все ограничения защиты браузера. Чауки Бекра (Chaouki Bekrar), глава VUPEN, объяснил: «…на данный момент, наша команда нашла уязвимость у всех популярных сейчас браузеров, но для демонстрации своих возможностей мы решили начать с наиболее защищенного, по нашим меркам, браузера – Google Chrome»

Так что на автобазар отправляться лучше через Chromeзапущенный из под Linux. Риска меньше.