法国安全公司利用了谷歌浏览器的漏洞,绕过其沙箱安全功能,ASLR和DEP能力。谷歌浏览器Chrome的沙箱安全技术,旨在阻止恶意代码渗入系统进程,已被VUPEN安全公司的研究人员的绕开(compromised by researchers at VUPEN Security)。
桑植ssl适用于网站、小程序/APP、API接口等需要进行数据传输应用场景,ssl证书未来市场广阔!成为创新互联的ssl证书销售渠道,可以享受市场价格4-6折优惠!如果有意向欢迎电话联系或者加微信:18980820575(备注:SSL证书合作)期待与您的合作!
在周一发布的一份公告中,该公司称其研究团队发现了谷歌浏览器中的一个零日漏洞。该漏洞让研究团队绕过了Chrome所有的安全功能,包括地址空间布局随机化(ASLR),数据执行保护(DEP),这两种技术是为了阻止入侵者获取对正在运行的进程的访问。
“虽然Chrome浏览器拥有最安全的沙箱之一,并在过去三年的Pwn2Own比赛中都幸存了下来,但是我们现在发现了一种可以在任何默认Chrome安装程序上,执行任意代码的可靠方法,尽管Chrome有沙箱,ASLR和DEP,”VUPEN公司在公告中说道。
绕开安全防御技术的工作在Windows系统上完成,同时依靠零日漏洞。VUPEN公司表示,该攻击可以再不利用Windows内核漏洞的情况下就可以成功。
VUPEN公司表示不会公开披露开发代码或漏洞底层的技术细节。该公司发布一个相应的视频作为证据,证明了浏览器的漏洞被利用。
一位谷歌的发言人对KrebsOnSecurity的Brian Krebs说,谷歌的工程团队无法核实VUPEN的说法,因为VUPEN没有分享任何与他们的发现有关的信息。如果该漏洞被证实,谷歌会发布一个针对浏览器的自动更新。
在过去TippingPoint Pwn2Own 比赛中,ASLR和DEP的漏洞就已显现。使用这些技术的微软表示,一次成功的攻击需要极为复杂的措施,其中包括多个零日漏洞。
沙箱技术,一直被认为是针对常见攻击者目标应用的防御添加层。Adobe系统公司开发的Adobe Reader X也使用了沙箱技术来阻止攻击。一位攻击者绕过了Adobe Flash Player中一个类似的沙箱功能。谷歌承认,沙箱是不是万能的方法,但一个附加的安全层,可以阻止许多攻击。
chrome沙箱被攻破视频
原文出处:http://itknowledgeexchange.techtarget.com/security-bytes/vupen-outs-sandboxing-weaknesses-in-google-chrome-attack/
【编辑推荐】
本文名称:沙箱被突破原来Chrome也不完全靠谱(附视频)
本文来源:http://www.36103.cn/qtweb/news2/32502.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联