Исследователи заработали более 100 000 долларов, взломав смартфон Pixel - «Новости»
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
20-01-2018, 00:00
Исследователи заработали более 100 000 долларов, взломав смартфон Pixel - «Новости»
Рейтинг:
Категория: Новости

В ходе прошедшего в прошлом году состязания Mobile Pwn2Own «белым» хакерам так и не удалось взломать смартфон Pixel, разработкой которого занимается сама компания Google. Но теперь команда исследователей из Qihoo 360 все же сумела обнаружить ряд уязвимостей, объединение которых в одну «цепочку» позволяет взломать Pixel и другие устройства удаленно, попросту заманив жертву на вредоносный сайт.


Для атаки исследователи использовали две уязвимости: CVE-2017-5116 и CVE-2017-14904. Первая проблема представляет собой type confusion баг, обнаруженный в составе V8 (jаvascript-движок Google). Его эксплуатация позволяет выполнить произвольный код в рамках находящегося в песочнице рендер-процесса Chrome. Эта брешь была устранена еще в сентябре 2017 года, с выходом Chrome 61. Вторая уязвимость связана с ошибкой в Android-модуле libgralloc и, как нетрудно догадаться, с помощью этого бага можно совершить побег из песочницы. Данную возможность эскалации привилегий устранили в декабре, выпустив патч наряду с другими декабрьскими «заплатками» для Android.


Комбинация двух вышеописанных проблем позволяла атакующему внедрить произвольный код в процесс system_server, предварительно обманом заставив жертву открыть вредоносный URL в Chrome.


За свои находки исследователи Qihoo 360 получили 105 000 долларов в рамках программы Android Security Rewards и 7500 долларов в рамках программы вознаграждения за уязвимости, обнаруженные в Chrome. В настоящее время – это крупнейшая выплата за всю историю существования Android Security Rewards, с момента ее расширения летом 2017 года. Учитывая, что специалисты Qihoo 360 первыми сумели создать цепочку для удаленной компрометации Pixel, размер вознаграждения не вызывает удивления.


Эксперты опубликовали гостевую колонку в официальном блоге Google, где описали все детали найденных уязвимостей и рассказали о тонкостях реализованной атаки.


Источник новостиgoogle.com

В ходе прошедшего в прошлом году состязания Mobile Pwn2Own «белым» хакерам так и не удалось взломать смартфон Pixel, разработкой которого занимается сама компания Google. Но теперь команда исследователей из Qihoo 360 все же сумела обнаружить ряд уязвимостей, объединение которых в одну «цепочку» позволяет взломать Pixel и другие устройства удаленно, попросту заманив жертву на вредоносный сайт. Для атаки исследователи использовали две уязвимости: CVE-2017-5116 и CVE-2017-14904. Первая проблема представляет собой type confusion баг, обнаруженный в составе V8 (jаvascript-движок Google). Его эксплуатация позволяет выполнить произвольный код в рамках находящегося в песочнице рендер-процесса Chrome. Эта брешь была устранена еще в сентябре 2017 года, с выходом Chrome 61. Вторая уязвимость связана с ошибкой в Android-модуле libgralloc и, как нетрудно догадаться, с помощью этого бага можно совершить побег из песочницы. Данную возможность эскалации привилегий устранили в декабре, выпустив патч наряду с другими декабрьскими «заплатками» для Android. Комбинация двух вышеописанных проблем позволяла атакующему внедрить произвольный код в процесс systemFiltered, предварительно обманом заставив жертву открыть вредоносный URL в Chrome. За свои находки исследователи Qihoo 360 получили 105 000 долларов в рамках программы Android Security Rewards и 7500 долларов в рамках программы вознаграждения за уязвимости, обнаруженные в Chrome. В настоящее время – это крупнейшая выплата за всю историю существования Android Security Rewards, с момента ее расширения летом 2017 года. Учитывая, что специалисты Qihoo 360 первыми сумели создать цепочку для удаленной компрометации Pixel, размер вознаграждения не вызывает удивления. Эксперты опубликовали гостевую колонку в официальном блоге Google, где описали все детали найденных уязвимостей и рассказали о тонкостях реализованной атаки. Источник новости - google.com

Теги: CSS, Qihoo рамках вознаграждения вредоносный позволяет

Просмотров: 930
Комментариев: 0:   20-01-2018, 00:00
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: