№ 5-6'2011     Тема: ГЃГҐГ§Г®ГЇГ Г±Г­Г®Г±ГІГј     ( Прочитано 6900 раз )

 

Èññëåäîâàòåëüñêàÿ êîìàíäà VUPEN Vulnerability Research Team èç êîìïàíèè VUPEN Security (îêàçûâàþùåé êîíñàëòèíãîâûå óñëóãè â âîïðîñàõ êîìïüþòåðíîé èíôîðìàöèîííîé áåçîïàñíîñòè) îò÷èòàëàñü îá óñïåøíîì èñïîëüçîâàíèè â web-áðàóçåðå Google Chrome ïóáëè÷íî íå ðàñêðûâàåìîé óÿçâèìîñòè "íóëåâîãî äíÿ", ñ ïîìîùüþ êîòîðîé âîçìîæåí óäàë¸ííûé çàïóñê ïðîèçâîëüíîãî êîäà íà êîìïüþòåðå æåðòâû.

 

Äëÿ äîêàçàòåëüñòâà ïðèâîäèòñÿ âèäåîðîëèê, Гў êîòîðîì ïðè îáðàùåíèè Google Chrome ГЄ íåêîåìó web-àäðåñó Г± êîäîì, èñïîëüçóþùèì óÿçâèìîñòü, çàïóñêàåòñÿ ñòàíäàðòíîå ïðèëîæåíèå – êàëüêóëÿòîð Windows, èñïîëíÿåìûé ôàéë êîòîðîãî ôèçè÷åñêè ðàñïîëîæåí Г­Г  óäàë¸ííîì web-ðåñóðñå.

 

Èññëåäîâàòåëè àêöåíòèðóþò âíèìàíèå Г­Г  òîì, Г·ГІГ® ìåõàíèçì äëÿ èñïîëüçîâàíèÿ óêàçàííîé óÿçâèìîñòè ÿâëÿåòñÿ îäíèì ГЁГ§ ñàìûõ ñëîæíûõ ГЁГ§ ГІГҐГµ, êîòîðûé îíè êîãäà-ëèáî ñîçäàâàëè. Ïîñêîëüêó ïðèõîäèëîñü îáõîäèòü ðàçëè÷íûå ñèñòåìû çàùèòû, ïîääåðæèâàåìûå Google Chrome – òåõíîëîãèè ASLR (Address space layout randomization) ГЁ DEP (Data Execution Prevention), Г  òàêæå ðåàëèçîâàííûé Гў web-áðàóçåðå ìåõàíèçì áåçîïàñíîãî èñïîëíåíèÿ êîäà – ГІГ ГЄ íàçûâàåìóþ "ïåñî÷íèöó" (sandbox).

 

 íàñòîÿùåå âðåìÿ èíôîðìàöèÿ îá óÿçâèìîñòè (óñïåøíîå èñïîëüçîâàíèå êîòîðîé ïðîâåðåíî ñîòðóäíèêàìè VUPEN Security äëÿ web-áðàóçåðîâ Chrome âåðñèé 11.0.696.65 è 12.0.742.30) ðàñïðîñòðàíåíà èñêëþ÷èòåëüíî ñðåäè êëèåíòîâ ýòîé êîìïàíèè, ïðåäñòàâëÿþùèõ ãîñóäàðñòâåííûå ñòðóêòóðû.