Ataka, apimanti „Chrome“ smėlio dėžės aplinkkelį, buvo Sergejaus Glazunovo, saugumo tyrinėtojo, nuolat randančio ir pranešančio apie „Chrome“ saugumo spragas, rankų darbas.
VANKŪVERIS – Rusijos universiteto studentas įsilaužė į visiškai pataisytą „Windows 7“ įrenginį (64 bitų), naudodamas nuotolinio kodo vykdymo pažeidžiamumą / išnaudojimą „Google Chrome“ žiniatinklio naršyklėje.
Ataka, apimanti „Chrome“ smėlio dėžės aplinkkelį, buvo Sergejaus Glazunovo, saugumo tyrinėtojo, nuolat randančio ir pranešančio apie „Chrome“ saugumo spragas, rankų darbas.
Glazunovas už išnaudojimą uždirbo 60 000 USD atlyginimą buvo nukreiptas į du skirtingus nulinės dienos pažeidžiamumus „Chrome“ plėtinių posistemėje. Piniginis prizas buvo „Google“ naujo „Pwnium“ įsilaužėlių konkurso, kuris šiais metais rengiamas kaip alternatyva labiau žinomam „Pwn2Own“ iššūkiui, dalis.
Pasak Justino Schuho, „Chrome“ saugos komandos nario, Glazunovo išnaudojimas buvo būdingas „Chrome“ ir visiškai aplenkė naršyklės smėlio dėžę. „Jis neišsiveržė iš smėlio dėžės, [bet] išvengė smėlio dėžės“, – interviu sakė Schuhas.
Schuhas ataką apibūdino kaip „labai įspūdingą“ ir leido suprasti, kad išnaudojimas „galėjo padaryti bet ką“ užkrėstame kompiuteryje. „Jis (Glazunovas) įvykdė kodą su visu prisijungusio vartotojo leidimu.„Tai buvo įspūdingas žygdarbis. Tam reikėjo giliai suprasti, kaip veikia „Chrome“, – pridūrė Schuhas. „Tai nėra trivialus dalykas. Tai labai sunku, todėl mes mokame 60 000 USD.
Glazunovas yra nuolatinis „Google“ klaidų mažinimo programos dalyvis, o Schuhas džiaugėsi savo tyrimo darbo kokybe.
Schuhas sakė, kad Glazunovas kartą pateikė panašią smėlio dėžės aplinkkelio klaidą, tačiau pabrėžė, kad šios rūšies pilna kodo vykdymas, kuris vykdo kodą už naršyklės smėlio dėžės ribų, sudaro labai mažą klaidų procentą pareiškimai.
„Google“ atstovas Sundar Pichai teigia, kad įmonė yra „Greitai dirbame su pataisymu“ kuris bus išstumtas per naršyklės automatinio atnaujinimo programą.