هك كروم و IE در مسابقات Pwn2Own

محققان امنیتی توانستند با استفاده از آسیب پذیری های ناشناس در IE 11 در حال اجرا بر روی ویندوز 8.1 و گوگل كروم در حال اجرا بر روی اندروید، دستگاه های سامسونگ گلكسی S4، Nexus 4 و Microsoft Surface RT را هك كنند.
 
محققان امنیتی توانستند با استفاده از آسیب پذیری های ناشناس در IE 11 در حال اجرا بر روی ویندوز 8.1 و گوگل كروم در حال اجرا بر روی اندروید، دستگاه های سامسونگ گلكسی S4، Nexus 4 و Microsoft Surface RT را هك كنند.
این كدهای سوء استفاده در مسابقات هك Mobile Pwn2Own كه روزهای چهارشنبه و پنج شنبه در توكیو برگزار شد مورد استفاده قرار گرفتند.
عبدالعزیز حریری و مت مولیناوه، دو محقق امنیتی از گروه ZDI كه مسابقات را سازماندهی می كردند، یك كد سوء استفاده از IE 11 بر روی دستگاه Microsoft Surface RT كه در حال اجرای ویندوز 8.1 بود را در معرض نمایش قرار دادند.
حریری اظهار داشت: سوء استفاده از مشكل IE به دلیل حفاظت ها و كنترل های پیاده سازی شده بسیار دشوار است. این آسیب پذیری دو بار مورد سوء استفاده قرار گرفت تا یك آدرس حافظه را فاش نماید و سپس منجر به اجرای كد از راه دور شود. این سوء استفاده باعث می شود تا مهاجمان كنترل كاملی را بر روی ماشین آسیب پذیر بدست آورند.
مولیناوه گفت: این آسیب پذیری به شركت مایكروسافت گزارش شده است در نتیجه این شركت می تواند با برطرف نمودن آن، از كاربران خود محافظت نماید.
محقق دیگری با استفاده از یك آسیب پذیری در كروم توانست دستگاه های سامسونگ گلكسی S4 و Nexus 4 را هك نماید. به دلیل استفاده كروم از sandbox، اجرای كد از راه دور از طریق یكی از آسیب پذیری های كروم بسیار سخت می باشد. پیش از این sandbox كروم در سال 2012 و در جریان مسابقات Google's Pwnium دو بار هك شده بود. این محقق برای این هك از یك آسیب پذیری سرریز عدد صحیح و یك روش دور زدن sandbox استفاده كرده است.
برای این هك باید یك قربانی بالقوه از طریق ایمیل یا پیام كوتاه بر روی لینكی در یك صفحه وب دستكاری شده خاص كلیك نماید. پس از باز شدن صفحه مخرب در كروم، این حمله بدون هیچ تعاملی با كاربر اجرا می شود و به مهاجم اجازه می دهد تا از راه دور كدی را بر روی سیستم عامل اجرا نماید. این آسیب پذیری به شركت گوگل گزارش شده است در نتیجه می تواند آن را برطرف نماید.
هم چنین تیمی از محققان امنیتی ژاپنی توانستند با استفاده از آسیب پذیری هایی كه در برنامه های كاربردی بی نام وجود دارد، دستگاه سامسونگ گلكسی S4 را هك نمایند. این برنامه های بی نام به صورت پیش فرض توسط شركت سازنده بر روی دستگاه سامسونگ گلكسی نصب شده اند. 

درباره پارسینگ

تیم امنیت وب و تحقیقات سایبری پارسینگ با هدف اطلاع رسانی، آموزش، مشاوره، ایمن سازی و تحقیقات در حوزه امنیت سایبری در سال 1391 توسط مهندس علی اصغر جعفری لاری تاسیس گردید تا علاوه بر اهدافی همچون بالا بردن آگاهی کاربران عمومی نسبت به امنیت، مشاوره و ایمن سازی وبسایت های داخلی برای دفاع در برابر تهاجمات بیگانگان و ارائه تحقیقات سایبری روشن و شفاف برای تحقیق و توسعه پروژه ها توسط دانش پژوهان، بتواند با کسب رضایت و اعتماد مشتریان خود به عنوان یک تیم برتر در حوزه امنیت سایبری در ایران شناخته شود.  

تماس با ما

تهران، اقدسیه، میدان ازگل، کوچه نوبهار، بن بست همیشه بهار، پلاک سوم

info[at]parsing[dot]ir

22196283 21 (98)

9120268477 (98)

پارسینگ را در گوگل محبوب کنید: