Вчера на соревновании Hack in the Box 2012 в Малайзии, хакер Pinky
Pie продемонстрировал полный взлом браузера Google Chrome. Согласно
условиям конкурса, исследователи должны были обнародовать неизвестную
ранее уязвимость (уязвимость нулевого дня), использование которой
позволило бы обойти встроенные в браузер компоненты безопасности.
Взломщику удалось удовлетворить всем требованиям конкурса и сломать
защиту браузера. 
Так
как уязвимость имеет высочайшую степень риска по шкале оценки опасности
- критическую - то подробные данные об уязвимости и возможности её
эксплуатации пока засекречены. Но один из инженеров Google, Крис Эванс,
сообщил о том, что на самом деле хакер выявил две уязвимости: - Программный дефект движка рендеринга WebKit, затрагивающий область использования SVG (масштабируемая векторная графика).
- Дефект слоя общения процессов в многопроцессной архитектуре Chrome
Хакеру
удалось продемонстрировать использование каждой уязвимости для
выполнения произвольного кода в обход изолированного пространства
"песочницы". За такие достижения, хакер получил награду в $60 тыс. и
Chromebook. Весной этого года Pinkie Pie так же смог прдемонстрировать
использование уязвимости в Chrome и уже получал такое же вознаграждение,
поэтому это второе достижение хакера в конкурсе Google. Сам же
интернет-гигант уже поработал над находками Pinkie Pie. Получение,
исследование уязвимости, исправление ошибок и тестирование заняло около
10 часов, и уже сейчас всем пользователям Google Chrome Stable доступно
обновление, исправляющие недостатки. Напомню, что предыдущий рекорд
скорости выпуска исправлений у Google составлял 25 часов.
Источник
|
