Google Chrome Stable взломали … продолжение

Удивительные и одновременно пугающие новости пришли из Франции. Тамошние эксперты в области компьютерной безопасности из компании VUPEN объявили о том, что нашли и благополучно сумели использовать дыру в хваленой песочнице Google Chrome.

Эксперты сумели обойти не только песочницу стабильного Хрома, но и все механизмы защиты Windows 7 SP1 и за 15 секунд при помощи зараженной страницы получили полный доступ к атакованному компьютеру (в частности запустили системный калькулятор). Браузер при этом не падает, что обычно характерно при использовании эксплойтов, а продолжает работать без единого намека на взлом. А вот и видео с демонстрацией взлома:

В VUPEN заявили, что не раскрывают подробности найденных ими уязвимостей ни перед кем кроме клиентов из правительства. А значит разработчики из Google будут вынуждены самостоятельно искать дыру. В Google факт взлома не подтверждают и не опровергают, ссылаясь на отсутствие информации.

Продолжение…

Уязвимость в Google Chrome оказалась уязвимостью Adobe Flash.
Французские хакеры действительно взломали браузер, но как оказалось не исключительно сам браузер, а Adobe Flash Player. Разработчик браузера Тэвис Орманди обвинил VUPEN в том, что их специалисты недооценивают механизм «песочницы» Google Chrome, а журналистов в чрезмерном раздувании сложившейся ситуации (действительно, критические дыры (а компания их группирует по степени опасности от меньшей к максимальной: низкая, средняя, высокая и критическая) в Google Chrome не редкость, и компания их не скрывает, описывая их на официальном блоге, но журналистов внезапно заинтересовала эта уязвимость). Крис Эванс, другой разработчик браузера, заявил, что раз исполнение уязвимости требует дополнительный подключаемый модуль, то это не проблема браузера. Это же мнение поддерживает и журналист издания ZDNet Эдриан Кингсли-Хьюс, пристально наблюдающий за ситуацией. Как известно, Google достигла особого соглашения с Adobe на включение в дистрибутив модуля, а также на приоритетные обновления и на совместные работы по разработке плагина для просмотра PDF и внедрению Adobe Flash в песочницу. Поэтому специалисты из VUPEN именно взломали Google Chrome, а точнее компонент, идущий неразрывно в комплекте с браузером. Тем не менее, если хакеры возьмут “ванильный” дистрибутив Chromium той же версии, что и взломанный Google Chrome, то их эксплойт не будет стоить и выеденного яйца, так как он будет требовать Flash. Но всё же компании Google надо хорошо подумать над тем, как обеспечить безопасность плагина, ибо даже песочница не спасла браузер от эксплойта. Возможно, что стоит блокировать запуск Flash-содержимого по умолчанию, как это делается с Java/IcedTea, или предоставить пользователю самому запустить плагин при оповещении, сходном с оповещением об установке поисковой системы, где будет сообщаться о преимуществах и возможностях Flash вместе с заметкой о возможных проблемах с безопасностью.

По материалам http://хром.рф и http://habrahabr.ru/

14 thoughts on “Google Chrome Stable взломали … продолжение

  1. сидел на хроме,потом как узнал,что они следят за пользователями,перешел обратно на финнов.все работает быстро,хорошо отображается,жаль что Adblock+ не рабит тут!можно конешно всякие антибаннеры сторонние,но мне кажется они сильно тормозят загрузку страниц,может мне конечно кажется..

  2. а как же они смотрят ютуб или любое видео в нэте?!

    1. Влад
      В iOS встроено приложение YOUTUBE, а видео только HTML5.

      1. ну американцы конешно крутые,у всех МАКи,айфоны,и другие “огрызки”,а нам простым русским людям приходится довольствоваться дырявым адобом! кстати,дмитрий,вы постоянно что ли сидите на сайте и ждете комментов,а то я написал,и тут же ответ!

        1. Влад

          вы постоянно что ли сидите на сайте

          я просто работаю на трёх работах, и 18 часов в сутки в интернете. Про “огрызки” могу сказать, что их количество в России очень велико. В декабре 2011 года откроется официально Apple Store. Ну а история рождения MAC и Windows – книга “iКона. Стив Джобс”.

          1. мне понравися ваш сайт,все что мне нужно:антивири и ОС.все понятно,без рекламы,культурные админы,реактивные ответы! а как можно задонатить вам 100р без вебмони и прочей ерунды,не доверяю им

  3. ну и нафиг нужен браузер без флэша?
    эта дрянь стоит на всех компах которые используются для серфинга в сети во всех без исключения браузеров (гиков сидящих без плагинов вообще и с noscript-ом в расчет не берем их еденицы!)
    вывод: уязвимость опасна и журналисты ничего не раздувают.

    1. Angel
      К сожалению это так – браузер без флэша теряет. Продукты Adobe считаются самыми уязвимыми к эксплойтам (кстати это одна из причин отказа Apple от технологии Flash). То есть дыра на дыре. И чем быстрее HTML5 “вырастет”, тем быстрее сможет вытеснить flash из интернета. У меня уже есть примеры когда интернет используется совсем без flash’а.

        1. Влад
          О чем бы вы хотели услышать поточнее?

          1. есть примеры когда без flash. что можно использовать вместо flash?не видел альтернативы

          2. да, Влад
            мой сын, жена и дочь используют технику Apple. Flash для них можно сказать недоступен, да и не нужен он.

          3. а нельзя ли как нибудь настроить уведомления чтоли на мэйл,а то бывает забываешь про комменты,да и искать среди старых новостей долго,а тут бах!-и письмецо,мол вам ответили там то там то! да, я написал второй комментарий за 2 минуты,не дал,мол я слишком быстро печатаю! )

Leave a Reply

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload CAPTCHA.