Chrome dokázal hacknout i teenager. Slavný sandbox není neprůstřelný

0

Kdysi obávaný a neprůstřelný Chrome dostává letos i se svým sandboxem na frak. V letošním souboji „hackněte webové prohlížeče“ (konkrétně proběhly v podobném termínu dvě soutěže) se Google nedraží zdaleka tak dobře jako třeba před rokem. Jeho prohlížeč už padl dvakrát, jednou se podařilo obranný perimetr prolomit čistě pomocí zranitelností uvnitř prohlížeče. V ukončeném Pwn2Own Chrome nevydrželo jedenkrát, zbylé dva útoky byly úspěšně provedeny v rámci podobně pojmenované soutěže Pwnium.

Předchozí zprávička: Sandbox v Google Chrome konečně padl

Třetí a nejnovější útok má na svědomí teenager známý pod přezdívkou PinkiePie. Víc se o něm neví. Za odměnu dostane opět 60 000 dolarů. Příprava na průlom mu prý zabrala týden a půl a ve výsledku zneužil tři dosud neznámé zranitelnosti (v předchozím pokusu bylo potřeba dvou). Chrome na plně aktualizovaných Windows 7 podlehl naprosto kompletně. Google na odměny za nalezení děr vyhradil jeden milion dolarů, zbylo celých 880 tisíc. Protože soutěž skončila, peníze půjdou týmu zabývajícímu se bezpečností prohlížeče. Chrome Security Team takovou zpráv slyší určitě rád.

V reakci na prolomení bezpečnosti Google opět ve velice krátké době připravil patřičné úpravy, aby se díry zneužít nedaly. Chrome 17.0.963.79 vyšel v sobotu, do této chvíle se již vaše instalace pravděpodobně stihla zaktualizovat (případně stahujte z www.google.com/chrome). PinkiePie prohlásil, že uniknout ze sandboxu bylo to nejsnazší, naopak musel více úsilí vyvinout, aby se do prohlížeče vůbec nějak dostal. Sandbox je přitom považován za jeden z nejlepších bezpečnostních prvků, které nic nepropustí. Google se ale poučil a Chrome je tak zase o něco odolnější. Rozhodně hovoříme o jednom z nejlépe zabezpečených prohlížečů vůbec.

Vzpomínáte na Vupen, tým, který Chrome nachytal na švestkách v soutěži Pwn2Own? Jeden ze tří letošních slavných soutěžních útoků byl podle vývojářů Chromu nakonec zaviněn integrovaným zásuvným modulem Adobe Flash Player. Sandbox tak v tomto případě ironicky padl nikoli vlastním zaviněním.

Zdroj: Pwnium | Google Chrome Releases | Chrome Story 1 | 2

Chrome dokázal hacknout i teenager. Slavný sandbox není neprůstřelný

Ohodnoťte tento článek!

1 komentář

  1. Počítejte s tím, že za Office 2010 pro vysokoškoláky dáte zhruba 2300 Kč včetně daně. Bude tak levnější než aktuální edice pro studenty a domácnosti, která se běžně prodává o několik stovek dráž….
    Jo ,ale ty mají tři licence a ne jen dvě…

  2. Nevím jaký důvod pro vysokoškoláky bude si pořizovat office, když ani neumí standartě číslovat vzorce a musí se to šmelit přes hloupé tabulky. Kdyby mrkvosoft aspoň vydal normalizované balíčky pro psaní prací, které by v tom setu byli implementované, tak proč ne. Jenže pokud první věc, co vysokoškoláci musí udělat z nastavením je ho kompletně překopat, tak nevím pro koho je tato edice určena.