Google Chrome содержит критическую уязвимость, которая, при определенных
условиях, позволит злоумышленникам внедрить вредоносное ПО на компьютеры,
оснащенные Windows.
По-мнению находящейся в Словении Acros Security, Google классифицировал
ошибку не как "уязвимость", а как "странное поведение программы, вопрос об
изменении которого [они] должны рассмотреть".
Уязвимость, по словам Мити Колсека, генерального директора Acros,
основывается на на коде Windows и может называться по-разному: "DLL load
hijacking", "binary planting" или "file planting".
Атака попала в поле зрения общественности в августе 2010 года, когда HD Moore,
создатель Metasploit и главный директор по безопасности из Rapid7,
нашел дюжину уязвимостей
в приложениях Windows. За докладом Мура последовали и другие, в том числе
несколько от Колсека из Acros.
Многие приложения Windows не обращаются к DLL используя полный путь к файлу,
а вместо этого используют только имя файла, что дает хакерам возможность
обмануть приложение и загрузить вредоносный файл с таким же названием, как
запрашиваемый DLL. Если злоумышленники могут обманом заставить пользователей
посетить вредоносные сайты или удаленные общие папки, или подключить
USB-устройство - то они могут взломать ПК и подсадить на него вредоносное ПО.
Miсrosoft, к примеру, представила 17 обновлений за последние 13 месяцев,
созданных для того, чтобы исправить проблемы взломов, связанных с подменой DLL,
последнее выпущено в начале этого месяца.
Новая уязвимость, однако, оказывает влияние на Chrome - браузер, который
построен по технологии "песочницы", которая изолирует его от всей остальной
системы.
"Песочница Chrome не защищает систему от взломов, основанных на подмене DLL",
- утверждает Acros в своей
обширной статье, посвященной данной уязвимости.
Есть ли луч надежды? Хакерам нужно, чтобы звезды сложились в идеальную линию
для того, чтобы использовать уязвимость, утверждает Acros.
Для того, чтобы уязвимостью можно было воспользоваться, Chrome должен быть
настроен на использование других поисковых систем, помимо Google, которая, что
не удивительно, по умолчанию настроена для браузера Google. В Acros подтвердили,
что атака может быть успешно запущена с Chrome, если пользователи используют
Yahoo или Bing в качестве предпочтительного поискового сайта для браузера.
Пользователи не должны посещать защищенные веб-сайты - те, чьи URL начинаются
с HTTPS - добавляет Acros, а также должны быть принуждены обманным путем
загрузить файл с всплывающим диалоговым окном "Открыть" для того, чтобы
инициировать атаку.
Все это уже было слишком для Google.
В сообщениях на Chromium bug tracker разработчик Google написал, что "Мы не
рассматриваем это как ошибку в системе безопасности, [потому что] предпосылки к
ее использованию слишком малы".
Позже, в ветке обсуждения, организованной Колсеком 21 сентября, когда он
сообщил о находке Acros, тот же разработчик добавил, что "неправдоподобно малая
возможность использования этой уязвимости, [означает] что мы рассматриваем ее
как странное поведение программы, вопрос об изменении которого [мы] должны
рассмотреть, а не как уязвимость".
Компания Acros не полностью согласна с этим.
"Это трудно оспорить", - сказали в компании о требуемых предварительных
условиях, которые нужно выполнить хакерам, имея в виду, что, вероятно, они будут
направлять свои усилия на подвиги, имеющие более высокую вероятность успеха.
"[Но], как исследователи в области информационной безопасности, мы рассматриваем
любые возможности, позволяющие скрытую загрузку удаленного кода и его запуск на
компьютере пользователя, без его предупреждения".
Acros подняли интересный вопрос. "Какое количество социального инжиниринга
уже будет перебором?", - спрашивает компания, анализируя этот недостаток.
Эти дебаты не новы: Microsoft регулярно занимается снижением уровня
серьезности уязвимости, когда она решает, что "взаимодействие с пользователем" -
вынуждение пользователей путем обмана сделать часть работы атакующих - включено
в состав уязвимости.
Acros рекомендует пользователям Chrome настроить один из безопасных сайтов,
например, Gmail, как домашнюю страницу, чтобы свести на нет возможность атаки.
Хотя Acros не предложили других вариантов, пользователи также могут защитить
себя оставив Google поисковым сайтом браузера по умолчанию.