8 марта 2012 г.

Уязвимости Chrome: до и после CanSecWest-2012

Французская хакерская команда Vupen Security, первой взломавшая Safari на прошлогоднем Pwn2Own (хакерское соревнование в рамках конференции CanSecWest), в этом году осуществила-таки взлом браузера Chrome. План взлома готовился шесть недель и включал в себя использование двух уязвимостей и сайт-приманку. После того как сайт-приманка был открыт в браузере, хакеры установили полный контроль над «песочницей», продемонстрировав это принудительным запуском одного из расширений. Взломана была последняя версия браузера, запущенная под 64-битной версией Windows 7.

В то же время один из лидеров команды Шаоки Бекрар (Chaoki Bekrar) заявил, что «“песочница” Chrome на сегодня самая безопасная; взломать её крайне трудно».

А ещё до CanSecWest-2012 обновлением от 4 марта были закрыты 14 уязвимостей; общая сумма выплат составила 47 тыс. долларов.

Кроме того, в рамках специального конкурса Pwnium, организованного Google, российский студент Сергей Глазунов также сумел взломать Chrome и получил неплохую прибавку к стипендии в размере 60 тыс. долларов. Как заявил сам Сергей, он использовал новые уязвимости, которые скоро будут закрыты.

По материалам:
The Verge: Google Chrome the first browser hacked at Pwn2Own 2012
Engadget: Google plugs 14 holes, hands out $47k to security researchers
Мой Google Chrome: Google Chrome взломан в рамках конкурсов Pwn2Own 2012 и Pwnium