Microsoft виявила експлойт у Google Chrome

Нові коментарі

Нова тема   Відповісти
Автор Повідомлення
Dakkaris 
Модератор програм


З нами з: 13.02.12
Востаннє: 30.03.24
Повідомлень: 1702

2017-10-20 07:55  
Microsoft виявила експлойт у Google Chrome


Компанія Microsoft розкрила експлойт в Google Chrome. Ось ці висновки:
• Виявлення CVE-2017-5121 вказує на те, що можна знайти віддалено експлуатовані уразливості в сучасних браузерах;
• Відносна відсутність пом'якшення RCE у Chrome означає, що шлях від помилки пошкодження пам'яті до експлойта може бути коротким;
• Кілька перевірок безпеки, які виконуються у пісочниці, призводять до того, що експлойти RCE можуть, серед іншого, обійти систему Same Origin Policy (SOP), надаючи зловмисникам можливість доступу до онлайн-сервісів ,,жертв,, (таким як електронна пошта, документи та банківські сесії) і збережені облікові дані;
• Процес Chrome для обслуговування вразливостей може привести до публічного розкриття інформації про уразливість безпеки до того, як виправлення будуть перенаправлені клієнта;

Microsoft виявила помилку, використовуючи техніку під назвою fuzzing. Вони використовували ExprGen, внутрішній fuzzer javascript, написаний командою Chakra - власний JS-движок компанії. Виконуючи це, вони запускали свій код і могли використовувати уразливості, пов'язані з пошкодженням пам'яті, такі як переповнення буфера. Крім того, було виявлено, що експлойт RCE можна використовувати для управління її роботою.

Дистанційні виконання коду експлойтів можуть допомогти зловмисникам вкрасти паролі, ввести довільний javascript на будь-яку сторінку і перейти на будь-який веб-сайт e фоновому режимі.


leicheman 
Відео Гуртом - фільмокрай
Відео Гуртом - фільмокрай


З нами з: 03.07.14
Востаннє: 10.12.24
Повідомлень: 7353

2017-10-20 08:09  
А для звичайних людей.
Що потрібно зробити , аби не попастися ? Очистити усе від хрому і видалити його поки не випустять оновлення 9 виправданням?

Додано через 28 секунд:

А для звичайних людей.
Що потрібно зробити , аби не попастися ? Очистити усе від хрому і видалити його поки не випустять оновлення 9 виправданням?
nashbridges 
Частий відвідувач


З нами з: 11.02.15
Востаннє: 24.03.24
Повідомлень: 42

2017-10-20 11:02  
leicheman

Згідно з джерелом (з якого перекладена була лише шапка)

Цитата:
We responsibly disclosed the vulnerability that we discovered along with a reliable RCE exploit to Google on September 14, 2017. <...> Servicing security fixes is an important part of the process and, to Google’s credit, their turnaround was impressive: the bug fix was committed just four days after the initial report, and the fixed build was released three days after that


Що нашою означає "ми доповіли про цю вразливість Google 14 вересня, яка унеможливила її чотирма днями пізніше, а ще через три дні випустила оновлену версію бравзера з цим виправленням.

Отже, все що вам потрібно, — переконатися, що в вас встановлена остання версія бравзера.
igor911 
Модератор відео


З нами з: 18.01.08
Востаннє: 12.12.24
Повідомлень: 17151

2017-10-20 13:45  
Firefox знайшов дірку у Windows:
cyclone2000 
Свій


З нами з: 09.12.07
Востаннє: 01.12.24
Повідомлень: 111

2017-10-20 18:38  
Виглядає як помста за публікацію Гуглом критичних дірок вінди, які дрібном'які не фіксали досить довгий час.
Ваш часовий пояс: GMT + 2 Години

Нова тема   Відповісти