Обновление Chrome 19 с устранением критических уязвимостей.

Автор BULATUS, 24 мая 2012, 18:32:26

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

BULATUS

На многоуважаемом мною сайте opennet.ru опубликована очередная интересная новость....
Заголовок гласит следующее: "Обновление Chrome 19 с устранением критических уязвимостей. Детали взлома Chrome, представленного на соревновании Pwnium"

Компания Google представила корректирующий выпуск web-браузера Chrome 19.0.1084.52, в котором устранено 13 уязвимостей и представлена порция исправлений ошибок. Две уязвимости имеют характер критических проблем, которые позволяют обойти все уровни защиты браузера и совершить атаку на систему пользователя. Девять уязвимостей отнесены к категории опасных, две - умеренных.

Первая критическая уязвимость найдена в коде с реализацией поддержки работы WebSockets поверх SSL, а вторая связана с возможностью обращения к освобождённой области памяти (use-after-free) в коде работы с браузерным кэшем. Одна из опасных уязвимостей специфична только для платформы Linux и связана с работой GTK UI. Среди других опасных проблем: ошибка в сборщике мусора и обработчике типов JavaScript-движка v8, обращения к освобождённой области памяти при обработке первых символов и при работе с шифрованными PDF, крах в JavaScript-биндинге для плагинов, выход за допустимые границы памяти во встроенном просмотрщике PDF-файлов.

Большая часть исправленных уязвимостей выявлена при помощи инструментария AddressSanitizer, предназначенного для автоматизированного определения фактов обращения к освобождённым областям памяти, выхода за пределы границ выделенного буфера и некоторых других типов ошибок при работе с памятью. В рамках программы выплаты вознаграждений за выявление уязвимостей в Chrome исследователям безопасности выплачено 4837 долларов: три премии по 1000$, одна 1337$ и одна 500$.

Кроме того, можно отметить интересную публикацию в блоге разработчиков Chromium, рассказывающую о методах, использованных при создании сложного эксплоита, продемонстрированного на соревновании Pwnium. Эксплоит позволил организовать выполнение кода в системе, используя для обхода всех уровней защиты браузера сочетание из шести не связанных друг с другом ошибок. Например, для того чтобы задействовать уязвимость в коде работающего вне sandbox-окружения класса для формования вывода, доступного только для расширений и служебных страниц настройки, были дополнительно задействованы несколько уязвимостей, позволивших выполнить действие от имени менеджера расширений и уже через IPC-вызовы от менеджера расширения эксплуатировать проблему в коде рендеринга.
Ссылка на новость http://www.opennet.ru/opennews/art.shtml?num=33926

Думаю эта новость придется по душе пользователям web-браузера Google Chrome...  ;)

SeHELLioN

РЕШЕТО ;D
ну кто-то должен был это сказать
а вообще годная и позитивная новость о неюзабельном браузере
Asus m5a97+Amd fx-8350+4x4GB DDR3 1600MGz+asus gtx670 DCII (перешита в top)
Debian stable

vladimir_ar

Удалил. Уже давно его не пользую (iceweasel лучше и удобнее). Забыл, что и установлен. Прочитал - снес.
Debian Testing, kernel 3.16-2-amd64, OpenBox
AMD A8-3750 / 16Gb RAM / ATI HD6550D (onboard) / Sound ASUS Xonar - DS
_______________________________
Debian Testing, kernel 3.14-2-amd64, OpenBox
HP-655 AMD E1 / 8Gb RAM / ATI HD7310M

spinner88

Сижу на iceweasel, жую попкорн, и с интересом слежу за достижениями корпорации добра и фабрики зондов  ;D
Наши правила.

Согласно социологического опроса установлено, что 92% населения пользуются автомобилями отечественного автопрома. Это Германия же.
Ноутбук-дебиан-гном.

lisss

не холивара ради, а справидливости для...
надеюсь, пользователи iceweasel не забыли, что это лишь другое название браузера firefox, дыры в котором находят постоянно?
и вобще, ваши высказывания, типа "iceweasel лучше и удобнее", в этой теме - нарушение правил.
ну и так, чисто на заметку: пожалуй, единственный браузер, вместо которого я согласился бы использовать firefox - это IE до 7 версии.