هکرها توانستند با استفاده از آسيب‌پذيري‌هاي ناشناس در IE 11 در حال اجرا روي ويندوز 8.1 و گوگل کروم در حال اجرا روي آندرويد، دستگاه‌هاي سامسونگ Galaxy S4 ،Nexus 4 و Microsoft Surface RT را هک کنند.

به گزارش اورژانس IT باشگاه خبرنگاران،طبق روال هميشه سه‌شنبه گذشته، سه‌شنبه اصلاحيه مايکروسافت بود. در اين هفته مثل هميشه چند اصلاحيه نيز به مرورگر IE اختصاص داشت.

علاوه بر اين طي يک هفته گذشته، مرورگرهاي کروم و فايرفاکس نيز به‌روز رساني شدند تا هيچ يک از مرورگرهاي پرطرفدار جهان از به‌روز رساني بي‌‌نصيب نماند.

در همين حال هفته گذشته براي سازندگان مرورگرها از اين منظر اهميت ويژه‌اي داشت که محصولاتشان در يک مسابقه امنيتي، به بوته آزمايش و بررسي گذاشته شد.

در اين نشست، مرورگرهاي کروم و IE در مرکز توجه قرار داشتند. چرا که اين مرورگرها روي سيستم‌عامل‌هايي اجرا مي‌شوند که سازنده آن‌ها ساخته است.

محققان امنيتي توانستند با استفاده از آسيب‌پذيري‌هاي ناشناس در IE 11 در حال اجرا روي ويندوز 8.1 و گوگل کروم در حال اجرا روي آندرويد، دستگاه‌هاي سامسونگ Galaxy S4 ،Nexus 4 و Microsoft Surface RT را هک کنند.

اين کدها در مسابقات هک Mobile Pwn2Own که در توکيو برگزار شد، مورد استفاده قرار گرفتند. دو محقق امنيتي از گروه ZDI که مسابقات را سازماندهي مي‌کـردند، يـک کد سوء استفاده را از IE 11 روي دستگاه Microsoft Surface RT که در حال اجراي ويندوز 8.1 بود، در معرض نمايش قرار دادند.

يکي از اين محققان عقيده داشت سوء استفاده از مشکل IE به دليل حفاظت‌ها و کنترل‌هاي پياده‌سازي شده بسيار دشوار است.

اين آسيب‌پذيري دو بار مورد سوء استفاده قرار گرفت تا يک آدرس حافظه را فاش نمايد و سپس منجر به اجراي کدي از راه دور شد. اين سوء استفاده باعث مي‌شود تا مهاجمان کنترل کاملي را روي ماشين آسيب‌پذير به دست آورند.

گروه ZDI تاکيد کرد که اين آسيب‌پذيري به شرکت مايکروسافت گزارش شده است و در نتيجه اين شرکت مي‌تواند با برطرف نمودن آن، از کاربران خود در مقابل اين آسيب‌پذيري محافظت نمايد.

محقق ديگري با استفاده از يک آسيب‌پذيري در کروم توانست دستگاه‌هاي سامسونگ Galaxy S4 و Nexus 4 را هک نمايد.

به دليل استفاده کروم از Sandbox، اجراي کد از راه دور از طريق يکي از آسيب‌پذيري‌هاي کروم بسيار سخت است.

پيش از اين Sandbox کروم در سال 2012 و در جريان مسابقات Google's Pwnium دو بار هک شده بود.

اين محقق براي اين هک از يک آسيب‌پذيري سر ريز عدد صحيح و يک روش دور زدن Sandbox استفاده کرده است.

براي انجام اين هک بايد يک قرباني بالقوه از طريق ايميل يا پيام کوتاه روي لينکي در يک صفحه وب دستکاري شده کليک نمايد.

پس از باز شدن صفحه مخرب در کروم، اين حمله بدون هيچ تعاملي با کاربر اجرا مي‌شود و به مهاجم اجازه مي‌دهد تا از راه دور کدي را روي سيستم‌عامل اجرا نمايد.

همچنين تيمي از محققان امنيتي ژاپني توانستند با استفاده از چند آسيب‌پذيري که در برنامه‌هاي کـاربردي بي‌نـام وجود دارد، دستگاه سامسونگ Galaxy S4 را هک نمايند.

اين برنامه‌هاي بي‌نام به صورت پيش‌فرض توسط شرکت سازنده اين دستگاه‌ها روي آن‌ها نصب شده‌اند. خوشبختانه اين آسيب‌پذيري‌ها به شرکت گوگل گزارش شدند و اين شرکت در کم‌تر از يک روز آن‌ها را ترميم کرده و اصلاحيه مربوطه به آن را عرضه کرد.

اگر چه محققان کد سوء استفاده کننده از اين آسيب‌پذيري‌ها را براي کروم روي سيستم‌هاي آندرويد عرضه کرده بودند اما گوگل اين آسيب‌پذيري‌ها را در کروم براي سيستم‌هاي ويندوز، مک و لينوکس و همچنين پلاگين Chrome Frame براي IE نيز برطرف کرده است.

شرکت گوگل اين آسيب‌پذيري‌ها را تحت عنوان چند مسئله تخريب در حافظه شرح داده است اما برگزارکنندگان مسابقه مذکور معتقد بودند که اين کد سوء استفاده کننده از يک آسيب‌پذيري سرريز عدد صحيح و آسيب‌پذيري ديگري که مجوز دور زدن محيط Sandbox را صادر مي‌کرد، استفاده کرده است.

محيط Sandbox برنامه‌هاي کروم، پردازش نرم‌افزار مرورگر را از سيستم‌عامل آن جدا مي‌کند و به اين ترتيب اجراي کدهاي دلخواه را در دستگاه هدف مشکل‌ مي‌سازد.

از طرف ديگر شرکت مايکروسافت نيز در سه‌شنبه اصلاحيه‌هاي خود، 10 آسيب‌پذيري را براي مرورگرهاي IE برطرف کرد؛ اگر چه اين شرکت به اين موضوع هم اشاره‌اي نکرده است که آيا آسيب‌پذيـري‌هـاي نشـان داده شده در مسابقـه Mobile Pwn2Own توسط اصلاحيه‌هاي اخير برطرف شده‌اند يا خير.
اخبار پیشنهادی
تبادل نظر
آدرس ایمیل خود را با فرمت مناسب وارد نمایید.
نظرات کاربران
انتشار یافته: ۳
در انتظار بررسی: ۱
Iran (Islamic Republic of)
windows8
۱۷:۲۹ ۱۹ آذر ۱۳۹۲
فقط فایر فاکس
Iran (Islamic Republic of)
mahdi
۱۷:۰۸ ۰۷ آذر ۱۳۹۲
گوگل کروم من از کار افتاده لطفا بگین چیکار کنم؟؟؟؟؟لطفا جواب من رو بدبد؟؟؟
Iran (Islamic Republic of)
محمد
۲۰:۱۳ ۰۴ آذر ۱۳۹۲
گوگل کروم من که از کار افتاده باید چیکار کنم؟؟؟؟