События

Экспертам удалось заработать больше $100 тыс. за взлом Google Pixel

На прошлогоднем конкурсе Pwn2Own Google Pixel оказался единственным смартфоном, который не удалось взломать участникам. Однако специалисты команды Qihoo 360 смогли выявить ряд уязвимостей, совместная эксплуатация которых позволяет удаленно выполнить код на Pixel и других Android-устройствах.

Разработанный исследователями эксплоит основан на двух уязвимостях: CVE-2017-5116 и CVE-2017-14904. Первая представляет собой уязвимость несоответствия используемых типов данных (type confusion) в движке JavaScript с открытым исходным кодом V8, ее можно использовать для удаленного выполнения кода в изолированном обработчике Chrome. Google исправила эту уязвимость в сентябре прошлого кода с выпуском Chrome 61.

Вторая проблема затрагивает модуль libgralloc в Android и может быть проэксплуатирована для выхода из окружения «песочницы». Данная уязвимость была устранена в декабре 2017 года. Совместное использование двух вышеописанных уязвимостей позволяет атакующему внедрить произвольный код в процесс system_server. Для этого злоумышленнику потребуется заставить жертву посетить вредоносный сайт.

За цепочку эсплоитов команда заработала $105 тыс. в рамках программы Android Security Rewards (ASR) и еще $7,5 тыс. по программе вознаграждения за найденные уязвимости в Chrome. Подробности эксплуатации уязвимостей представлены в блоге исследователей.

Источник

Автор: Сергей Куприянов
18.01.2018 (15:29)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.