Microsoft обнаружила эксплойт в Chrome

Для этого использовалась техника под названием fuzzing, сообщает "tehnot.com".

Запуская код, написанный командой Chakra, исследователи смогли обнаружить переполнение буфера памяти и вызванные этим проблем.

На основе этого были сделаны некоторые выводы:

- обнаружение CVE-2017-5121 указывает на то, что можно найти удаленно эксплуатируемые уязвимости в современных браузерах;

- относительное отсутствие смягчения RCE в Chrome означает, что путь от ошибки повреждения памяти до эксплойта может быть коротким;

- несколько проверок безопасности, выполняемых в песочнице, приводят к тому, что эксплойты RCE могут, среди прочего, обойти систему Same Origin Policy (SOP), предоставляя злоумышленникам возможность доступа к онлайн-сервисам жертв (таким как электронная почта, документы и банковские сессии) и сохраненные учетные данные;

- процесс Chrome для обслуживания уязвимостей может привести к публичному раскрытию информации об уязвимостях безопасности до того, как исправления будут перенаправлены клиента.

Использование эксплойтов такого рода может дать возможность кражи паролей из браузера, ввести произвольный javascript на любую страницу и перейти на любой веб-сайт в фоновом режиме.

Фото: "tehnot.com"

 

 

Читайте Comments.ua в Google News