Участник Mobile Pwn2Own взломал Chrome с помощью новой уязвимости нулевого дня

Участник Mobile Pwn2Own взломал Chrome с помощью новой уязвимости нулевого дня

Исследователю «Pinkie Pie» удалось скомпрометировать web-обозреватель и выполнить произвольный код с помощью специальной web-страницы.

Один из участников хакерских соревнований Pwn2Own, исследователь «Pinkie Pie» продемонстрировал собственные эксплоиты для ранее неизвестных уязвимостей в web-обозревателе Chrome от Google. Обнаруженные им бреши позволяют выполнить произвольный код на целевой системе и затрагивают версии браузера для таких платформ, как Android, Linux, OS X и Windows.

При этом в рамках демонстрации эксперт использовал последнюю на тот момент версию Chrome, установленного на мобильные устройства Nexus 4 и Samsung Galaxy S4. Операционные системы смартфонов также были обновлены до последних стабильных версий (все задействованные программные продукты находились в конфигурации по умолчанию).

Стоит отметить, что обе уязвимости (целочисленное переполнение памяти и обход ограничений песочницы), использованные «Pinkie Pie» в своих эксплоитах, требуют, чтобы жертва посетила специально сформированную web-страницу. 

Другие подробности брешей будут обнародованы, когда большинство пользователей Chrome установят соответствующее обновление. В настоящий момент разработчики Google уже  выпустили  исправление для этих уязвимостей в версии 31.0.1650.57. 

За свои труды независимый исследователь получил $50 тысяч от организаторов конкурса, а также дополнительные $50 тысяч непосредственно от Google. 

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!