【セキュリティ】Google Chromeをハッキング、セキュリティ企業が「成功」と発表(11/05/10)

このエントリーをはてなブックマークに追加
1 ◆amidaMovTg @あみだくじψ ★
 フランスのセキュリティ企業VUPENは5月9日、GoogleのWebブラウザ「Chrome」に実装されているセキュリティ機能を
かわして同ブラウザをハッキングすることに成功したと発表した。

 VUPENのブログによると、ハッキングに使ったコードは同社が発見した未解決の脆弱性を利用して、Google Chromeの
サンドボックスをはじめ、WindowsのAddress Space Layout Randomization(ASLR)やデータ実行防止(DEP)といった
セキュリティ機能を全てかわすことができるという。コードを実行した後もクラッシュを誘発しないため、ユーザーにも
気付かれにくいとしている。

 このコードは32ビットと64ビットの全Windowsに対して通用するといい、VUPENはWindows 7 SP1上でGoogle Chrome
最新版のバージョン11.0.696.65をハッキングする様子を示した動画を併せて公開した。細工を施したWebページを閲覧
すると、各種のペイロードが実行され、外部から計算機をダウンロードしてサンドボックスの外で起動することができて
しまうと解説している。

 問題のコードや脆弱性の詳細はVUPENと契約している政府機関のみに提供し、一般には公表していないという。

http://www.itmedia.co.jp/news/articles/1105/10/news023.html
2名無しさん@お腹いっぱい。:2011/05/10(火) 23:29:12.87 ID:???
ChromeよりもWindowsのASLRとDEPがかわされたほうが重要じゃね?
3名無しさん@お腹いっぱい。:2011/05/10(火) 23:30:38.48 ID:???
マイクロソフトって汚い会社だよな
4名無しさん@お腹いっぱい。:2011/05/10(火) 23:32:47.44 ID:???
ASLRやDEPはスキルの低い攻撃者を諦めさせたり
ウィルスなどが容易に作成されるのを防ぐためのもの
かわすためのテクニックも公開されている
5名無しさん@お腹いっぱい。:2011/05/10(火) 23:32:49.87 ID:???
Appleみたいに?
6名無しさん@お腹いっぱい。:2011/05/10(火) 23:39:19.99 ID:???
ASLRはわかるがDEPはどうやって回避するんだ?
VirtualProtectでも呼んでやるのか?
7名無しさん@お腹いっぱい。:2011/05/11(水) 01:09:24.62 ID:???
ハッキングコンテスト3年連続防衛したブラウザを破るとはすげえな
8名無しさん@お腹いっぱい。:2011/05/11(水) 07:46:14.57 ID:???
修正するのに時間かかるようならさようなら
9名無しさん@お腹いっぱい。:2011/05/11(水) 11:16:41.96 ID:???
俺んとこの最新版は12.0.742.21
ChromeじゃなくてChromiumだけどな
10名無しさん@お腹いっぱい。:2011/05/14(土) 19:23:27.12 ID:/SXAgFBK
うあーい
11名無しさん@お腹いっぱい。:2011/05/14(土) 19:24:05.31 ID:/SXAgFBK
むあーい
12名無しさん@お腹いっぱい。:2011/05/14(土) 20:46:30.33 ID:???
俺のChromium、13.0.765.0だけどダメなん?
13名無しさん@お腹いっぱい。:2011/05/14(土) 22:36:40.92 ID:???
>>12
公表しないよ
商売ですから
14名無しさん@お腹いっぱい。:2011/05/16(月) 23:25:25.04 ID:???
Chrome OSはLinuxの劣化コピー
15名無しさん@お腹いっぱい。:2011/05/17(火) 04:27:39.60 ID:???
>>14
Linuxの定義を言え
16名無しさん@お腹いっぱい。
>>15
Every use of Linux is a proper use of Linux.