Исследователю «Pinkie Pie» удалось скомпрометировать web-обозреватель и выполнить произвольный код с помощью специальной web-страницы.
Один из участников хакерских соревнований Pwn2Own, исследователь «Pinkie Pie» продемонстрировал собственные эксплоиты для ранее неизвестных уязвимостей в web-обозревателе Chrome от Google. Обнаруженные им бреши позволяют выполнить произвольный код на целевой системе и затрагивают версии браузера для таких платформ, как Android, Linux, OS X и Windows.
При этом в рамках демонстрации эксперт использовал последнюю на тот момент версию Chrome, установленного на мобильные устройства Nexus 4 и Samsung Galaxy S4. Операционные системы смартфонов также были обновлены до последних стабильных версий (все задействованные программные продукты находились в конфигурации по умолчанию).
Стоит отметить, что обе уязвимости (целочисленное переполнение памяти и обход ограничений песочницы), использованные «Pinkie Pie» в своих эксплоитах, требуют, чтобы жертва посетила специально сформированную web-страницу.
Другие подробности брешей будут обнародованы, когда большинство пользователей Chrome установят соответствующее обновление. В настоящий момент разработчики Google уже выпустили исправление для этих уязвимостей в версии 31.0.1650.57.
За свои труды независимый исследователь получил $50 тысяч от организаторов конкурса, а также дополнительные $50 тысяч непосредственно от Google.
Ладно, не доказали. Но мы работаем над этим