Мар
8
2012

Google Chrome первым был взломан на конкурсе Pwn2Own 2012

Появились новости с конкурса по взлому браузеров Pwn2Own 2012. Новости довольно неожиданные.

Остававшийся в течении нескольких лет не побежденным, Google Chrome был взломан на конкурсе самым первым. Причем, найти обходы системы безопасности удалось, как минимум, не одной команде. Имена, которые будут представлены ниже — вы все слышали уже, если знакомы с новостями из мира браузеров.

Русский студент Сергей Глазунов, чье имя вы часто можете видеть в списке людей, которым Google выплачивает денежные поощрения за сообщения о найденных уязвимостях, стал один из тех, кто сумел взломать Google Chrome.

На Windows 7 64-бита, со всеми установленными обновлениями, он смог обойти защиту браузера, включая песочницу и выполнить удаленный код. Действовал он через дыры в системе расширений и показал целых два возможных способа взлома.

Представители компании Google высоко оценили данный способ взлома. И уже приступили к закрытию обнаруженных проблем. Ну, а Сергей получает 60000 долларов и призовые очки (напомним, что в этом году победитель конкурса получается по сумме очков). Похоже, студент нашел себе хорошую работу — зарабатывать на уязвимостях данного браузера.

Другая команда, которой также удалось совершить то, во что многие не верили, носит имя Vupen. Да, вы уже могли слышать про эту компанию. Она неоднократно появлялась в новостях о браузерах. Так, ею были найдены уязвимости в Internet Explorer, в прошлом году на описываемом нами конкурсе, им удалось взломать браузер Safari. А позже они сообщили о том, что им удалось обойти песочницу Google Chrome. Правда, в Google заявили, что песочница не была взломана, а в Vupen воспользовались уязвимостью в Adobe Flash Player, который встроен в данный браузер. Что же, даже если тогда было действительно так, то сейчас, на Pwn2Own 2012, французы доказали, что способны на многое.

Работали они также на Windows 7 64x SP1 с установленными последними обновлениями. Им удалось создать специальную страницу, при посещении которой обходились все защиты операционной системы (DEP и ASLR), а также становилось возможным вырваться из песочницы Chrome. Как это часто бывает, в качестве демонстрации, на целевом компьютере запускалась программа «Калькулятор». Одним из условий срабатывания уязвимости является необходимость того, чтобы Chrome был установлен в системе по умолчанию.

Chaouki Bekrar — глава компании Vupen

Судя по всему, команда Vupen еще наделает шуму на конкурсе. По их словам они пришли с просчитанными уязвимостями для всех четырех браузеров, участвующих в соревновании (Internet Explorer, Google Chrome, Safari и Mozilla Firefox). Конкретно над взломом Chrome они готовились в течении нескольких недель. Взломать первым именно его — было специальным шагом. Они захотели показать, что вокруг него выстроено множество мифов о его непобедимости в плане безопасности. Так, в прошлом году все сообщали о том, что Chrome уцелел. В том году его взломали первым. При этом они заверяют, что песочница данного браузера — довольно продвинутая штука, делающая его одним из самых безопасных браузеров.

Что же, ждем дальнейших новостей с Pwn2Own 2012.

Метки:Конференции

6 комментариев Комментировать

Flash 08.03.2012 в 14:57

Хорошо. Чувствую, что взломают в этом году всех.

Ответить
- Anton Diaz 08.03.2012 в 15:17
  
  А это часом не тот самый знакомый мне Flash?)
  
  Ответить
Anton Diaz 08.03.2012 в 15:14

А самая безопасная, получается, Опера. Потому что никому не охотно ее взламывать 🙂

Ответить
- admin 08.03.2012 в 17:22
  
  В прошлом году была информация, что по причине низкой распространенности. С другой стороны, начальство компании могли бы и напроситься.
  
  Ответить
cheps 08.03.2012 в 16:32

Нагнули хром, молодцы

Ответить
- Tunechi 08.03.2012 в 21:27
  
  +1
  
  Ответить