Nowy exploit dla Google Chrome oraz Safari

Ukazał się exploit zdolny do zdalnego wywołania awaryjnego zakończenia pracy przeglądarek internetowych Apple Safari 4.0.4 oraz Google Chrome 4.0.249. Z punktu widzenia końcowego użytkownika, atak powoduje nieodwracalną utratę kontroli nad przeglądarką Safari oraz potencjalną utratę edytowanych w jej ramach danych. W przypadku Google Chrome, awarii ulega karta, w której złośliwa strona zostanie wyświetlona.

Błąd został odkryty przez Rad L. Sneaka z pomocą narzędzia Browser Fuzzer 3 (bf3). Sam atak polega na utworzeniu strony internetowej zawierającej odpowiednio spreparowany styl CSS. Długi ciąg znaków zawarty w stylu powoduje przepełnienie stosu i w konsekwencji awarię przeglądarki. Przygotowany przez HARD CORE SECURITY LAB plik zawierający kod Proof of Concet jest dostępny pod tym adresem. Działanie exploitu zostało potwierdzone w środowisku systemu Windows XP SP3 oraz Windows 7 x64.

Nowe błędy odkrywane na przemian we wszystkich popularnych przeglądarkach internetowych stały się codziennością. Dzisiejszy exploit jest jednak o tyle interesujący, że na jego podstawie możemy się przekonać, że zastosowana w Google Chrome izolacja procesów odpowiadających każdej z kart przeglądarki rzeczywiście w praktyce zwiększa stabilność całego programu, co w przypadku awarii zapobiega utracie stanu pracy w poszczególnych kartach. Konkurencyjne przeglądarki powinny więc czym prędzej skorzystać z takiego właśnie rozwiązania.

Materiał pochodzi z serwisu HARD CORE SECURITY LAB.

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

  1. Awatar trok
    trok

    Fajny ficzer. Ale noscript też działa podobnie;)

  2. Awatar Kemac
    Kemac

    Safari 4.0.4 na Mac OS X – PoC nie działa.

  3. Awatar arhan
    arhan

    Pod Safari 4.0.2 (5530.19) na OSX też nie działa. Ale pewnie dlatego, że "działanie exploitu zostało potwierdzone w środowisku systemu Windows XP SP3 oraz Windows 7 x64" 😉

    1. Awatar hcsl.pl
      hcsl.pl

      Czyli wygląda na to, że działa to tylko w Windows :).

      1. Awatar czepol
        czepol

        Tak, przed chwilą sprawdzałem pod Ubuntu 9.10 i Chrome 5.coś

  4. Awatar Junko Case
    Junko Case

    Really instructive and good bodily structure of content , now that’s user pleasant (:.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *