CanSecWest: Google Chrome už není nedobytná pevnost

9. 3. 2012

Na bezpečnostní konferenci CanSecWest probíhá každoročně soutěž Pwn2Own. Cílem soutěže je využít bezpečnostních děr ve webových prohlížečích a získat skrze ně plnou kontrolu nad počítačem nebo mobilním zařízením, na němž jsou spuštěny.

Letos se hackeři od začátku zaměřili na prohlížeč Google Chrome, který loni prošel bez újmy, a včera jako první předvedli, jak je možné prolomit jeho důmyslnou obranu. Povedlo se to hackerskému týmu Vupen, který loni jako první úspěšně překonal zabezpečení prohlížeče Safari.

Šest týdnů pracovali jeho členové na kódu, který při návštěvě nastraženého webu spustí jedno z rozšíření prohlížeče, kalkulačku, mimo chráněné prostředí sandboxu. Tím demonstrovali ovládnutí celého počítače s aktuální 64 bitovou verzí operačního systému Windows 7.

(Zdroj: Lupa.cz)

Našli jste v článku chybu?

Zasílat nově přidané názory e-mailem

Aktualita je stará, nové názory již nelze přidávat.

9. 3. 2012 9:08

hawran.diskuse

... je jedním z mnoha potřebných rozšíření prohlížeče html stránek.

Moc by mne zajímalo, jak moc nebezpečný by byl webový prohlížeč, který by dělal opravdu jen to, co by měl: zobrazoval obsah html stránek.
Bez možnosti přidávání jakýkoli dalších veledůležitých sra.ek ...
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 3. 2012 9:14

juraj (neregistrovaný)

Ehm, je si autor clanku isty, ze sa hovori o kalkulacke ako o nejakom rozsireni Chrome? Pokial viem, po minule roky sa stale uspesny utok demonstroval spustenim Windowsackeho calc.exe.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 3. 2012 9:32

Robert Smol (neregistrovaný)

Ja tu zpravicku pochopil, ze skrz nejaky plugin pustili program calc.exe z windows.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 3. 2012 9:55

hawran.diskuse

Přes "původní" Lupu jsem se dostal až sem:
http://www.theverge.com/2012/3/7/2853283/google-chrome-exploits-hack-pwn2own

"
Váš příspěvek byl vyhodnocen jak spam (v textu byla použita zakázaná slova) a nebude přijat. Pokud se domníváte, že zadáváte regulérní příspěvek, pošlete nám ho prosím e-mailem do redakce na adresu redakce (zavináč) root (tečka) cz
"
(KUWA!!! už zase. kašlu na to)

Asi je míněno toto (nevím, chrome moc nepoužívám):
http://www.chromeextensions.org/utilities/chrome-calculator/
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 3. 2012 10:44

bez přezdívky

Keby si klikal dalej, dostal by si sa k http://www.zdnet.com/blog/security/pwn2own-2012-google-chrome-browser-sandbox-first-to-fall/10588.

Neskutocny amaterizmus, 10x prepisovat jednu news a este chybne!!!.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 3. 2012 10:52

hawran.diskuse

JJ, ale už se mi nechtělo klikat dál.
Ostatně, to má asi dělat někdo jiný.

BTW, v tomto odkazu se zase pro jistotu zmiňuje widlácký Calculator (calc.exe) ...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 3. 2012 11:00

a1 (neregistrovaný)

samozrejme ze calc.exe, demonstruje se tim opusteni sandboxu a moznost spustit libovolny kod (druhym ukolem je zapsat soubor na disk, tim se demonstruje moznost .... zapsat soubor na disk :D:D, ktery pak muze byt spusten misto toho calc.exe)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 3. 2012 11:44

citatel (neregistrovaný)

Pre mňa je v pôvodnej správe dôležité toto:

Bekrar declined to say if any of the exploits targeted third-party code in the browser. ”It was a use-after-free vulnerability in the default installation of Chrome,” he said. “Our exploit worked against the default installation so it really doesn’t matter if it’s third-party code anyway.”
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 3. 2012 11:34

Lol Phirae (neregistrovaný)

Opravdu otřes. "O n c e t h e t a r g e t m a ch i n e v i s i t e d t h e p a g e, t h e e x p l o i t r a n a n d o p e n e d t h e C a l c u l a t o r (calc.exe) a p p o u t s i d e o f t h e s a n d b o x.” Jaké proboha rozšíření prohlížeče?

P.S. Krčmáři, strčte si ten svůj "antispam" tam, kde slunce nesvítí. A jako bonus: "Z vaší IP adresy byl vložen příspěvek před několika vteřinami, z důvodu ochrany před spamem můžete další vložit až po uplynutí 30 sekund. Odešlete prosím svůj názor za chvíli znovu." To kurňa fix nejste ani schopni rozlišit vložený a nevložený komentář? Jo, vono nejsou zdroje.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 3. 2012 23:34

Whirlwind (neregistrovaný)

A kvôli vám by sa do registra zakázaných slov pre spam mali dostať slová ako Microsoft, Windows a všetky slová, ktoré sa tejto softvérovej firmy týkajú. A ak zase máte na jazyku (teda presnejšie prsty na klávesnici) nejakú "super" myšlienku alebo argument, tak si ho tiež strčte do... no ďaleko. Pretože to čo tu robíte je tiež svojím spôsobom spam. Toto je stránka o open source software a nie o proprietároch bohatnúcim na bohviečom. Takže sa radšej zdržte komentára...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
10. 3. 2012 13:20

Lol Phirae (neregistrovaný)

Asi si mě pleteš s Laelem Ophirem. Takže hekáš na špatném hrobě. :-P
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
10. 3. 2012 16:14

Whirlwind (neregistrovaný)

Tak to potom pardon, dúfam že ma ospravedlňuje čas, kedy som názor písal... Takže tak.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 3. 2012 19:43

Jarda_P

Tak Google ted bude muset vyplaznou melouna odmeny. Blahoprejeme vyherci!
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
11. 3. 2012 23:00

DK (neregistrovaný)

nebude, u tehle souteze totiz nemuseli zverejnit, jak k tomu dosli (proto si google vyhlasil vlastni)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
12. 3. 2012 10:01

Jarda_P

To snad zalezi na tom, jestli to zverejni, ne na tom, jestli se jedna o soutez, kde se to zverejnit musi. Nedivil bych se, kdyby jim ten meloun za to usili stal.
- Zobrazit celé vlákno