Google исправил несколько уязвимостей в своем браузере включая и те, что
согласно одной французской компании безопасности могли быть использованы для
обхода системы противодействия использованию эксплойтов.

Однако в версии браузера 11.0.696.71, обновление до которой произошло
автоматически 24 мая, не исправлена брешь, которая согласно исследователям Vupen,
может быть использована в Windows 7.

Обновление безопасности является уже
вторым дополнением в
"стабильную" сборку Chrome – самую надежную версию браузера – в этом месяце.

В обновлении Google исправил четыре уязвимости, включая две критические, т.е
уязвимости, которые могут позволить атакующим преодолеть систему безопасности
Chrome и выйти за его пределы. Всего в этом году Google исправил 5 критических
уязвимостей. Остававшаяся пара брешей получила лейбл "повышенной опасности" и
принесла исследователю, о них доложившему, 1000 долларов награды, в то время как
другие представляли "низкую опасность" в соответствии с системой
четырехступенчатой классификацией угрозы разработанной Google.

Работу над обнаруженными уязвимостями компания возложила на собственных
сотрудников безопасности.

И хотя в Google не признали, что два последних бага могли быть использованы
хакерами для взлома "песочницы" Chrome и в дальнейшем исполнения вредоносного
кода на компьютере, французская фирма безопасности
Vupen заявила, что такая
вероятность была
.

"Уязвимости, исправленные сегодня и связанные с GPU — типичный пример багов,
которые могут оказывать влияние на браузер и используются для исполнения
произвольного кода вне песочницы", — сообщил генеральный директор Vupen Чаоуки
Бекар. Также Бекар добавил, что до сих пор остается неисправленной уязвимость
или даже несколько уязвимостей, которые нашли исследователи его компании.
Недавно им даже удалось установить как именно эти баги могут быть использованы.

"Недавние бреши,
обнаруженные нами в Chrome
, включая обход песочницы, остаются
неисправленными и наш код прекрасно работает и в версии 11.0.696.71", — сообщил
он.

Эти уязвимости уже были
предметом обсуждения
, когда компания Vupen заявила, что ей удалось взломать
Chrome обойдя не только встроенную систему безопасности Chrome, но и системы
защиты Windows 7.

Chrome мог противостоять атакам преимущественно благодаря своей технологии
безопасности, разработанной для изоляции браузера и делающей крайне сложным
делом исполнение вредоносного кода на компьютере. Например, никому так и не
удалось взломать браузер в течение последних трех хакерских турниров Pwn2Own,
ежегодном событии, проводимом конференцией CanSecWest и спонсируемом в рамках
программа поиска уязвимостей HP TippingPoint. Ни один браузер не смог даже
приблизиться к Chrome в этом соревновании.

Во вторник представитель Google Джей Нанкарроу отказался комментировать
заявления компании Vupen, лишь повторив, что у Google не было возможности
исследовать уязвимости в виду того, что Vupen не поделился с ними необходимой
информацией.

В прошлом году компания Vupen поменяла свою политику разглашения информации
на более коммерческий вариант. Теперь фирма не сообщает о багах производителям,
но с радостью делится подробностями с любым, кто готов за это заплатить.

Согласно компании Net Applications, 11.9% всех пользователей работают с
браузером от Google. Таким образом, Chrome занимает третье место после IE от
Microsoft (55.1%) и Firefox от Mozilla (21.6%).



Оставить мнение