Goodnews.ua


Экспертам удалось заработать больше $100 тыс. за взлом Google Pixel

Январь 21
08:31 2018

На прошлогоднем конкурсе Pwn2Own Google Pixel оказался единственным смартфоном, который не удалось взломать участникам. Однако специалисты команды Qihoo 360 смогли выявить ряд уязвимостей, совместная эксплуатация которых позволяет удаленно выполнить код на Pixel и других Android-устройствах.
Разработанный исследователями эксплоит основан на двух уязвимостях: CVE-2017-5116 и CVE-2017-14904. Первая представляет собой уязвимость несоответствия используемых типов данных (type confusion) в движке JavaScript с открытым исходным кодом V8, ее можно использовать для удаленного выполнения кода в изолированном обработчике Chrome. Google исправила эту уязвимость в сентябре прошлого кода с выпуском Chrome 61.
Вторая проблема затрагивает модуль libgralloc в Android и может быть проэксплуатирована для выхода из окружения «песочницы». Данная уязвимость была устранена в декабре 2017 года. Совместное использование двух вышеописанных уязвимостей позволяет атакующему внедрить произвольный код в процесс system_server. Для этого злоумышленнику потребуется заставить жертву посетить вредоносный сайт.
За цепочку эсплоитов команда заработала $105 тыс. в рамках программы Android Security Rewards (ASR) и еще $7,5 тыс. по программе вознаграждения за найденные уязвимости в Chrome. Подробности эксплуатации уязвимостей представлены в блоге исследователей.

Источник: securitylab.ru

Share

Статьи по теме







0 Комментариев

Хотите быть первым?

Еще никто не комментировал данный материал.

Написать комментарий

Комментировать

Залишаючи свій коментар, пам'ятайте, що зміст та тональність вашого повідомлення можуть зачіпати почуття реальних людей, що безпосередньо чи опосередковано пов'язані із цією новиною. Виявляйте повагу та толерантність до своїх співрозмовників. Користувачі, які систематично порушують це правило, будуть заблоковані.

Website Protected by Spam Master


Останні новини

Українські дефлімпійські збірні з баскетболу 3х3 — у фіналі Кубка світу

Читать всю статью

Ми у соцмережах




Наші партнёри

UA.TODAY - Украина Сегодня UA.TODAY
Goodnews.ua