Інженер Google виявив критичні уразливості в "безпечних" браузерах


Інженер Google виявив критичні уразливості в "безпечних" браузерах

Інженер з питань безпеки з Google Project Zero Тевіс Орманді опублікував доповідь про виявлені не так давно критичні вразливості в ряді браузерів, які є Форк Google Chromium. Йдеться про такі популярні проекти, як Avast, Chromodo і Malwarebytes.

За словами Орманді, виявлені прогалини в “безпечних” браузерах надавали хакерам прямий доступ до системи і носили надзвичайно загрозливого характеру. На щастя, за станом на 3 лютого, в двох браузерах з трьох “дірки” були закриті відповідними патчами безпеки. З іншого боку, ця новина виявила серйозні похибки з боку сторонніх розробників в питанні забезпечення безпеки користувачів.

У браузері Avastium Тевіс Орманді виявив можливість віддаленого доступу до будь-якого файлу в системі через спеціально підготовлену веб-сторінку з виконуваним кодом JavaScript. Потенційно така “дірка” дозволяє витягувати куки і електронну пошту. Проблема була вперше озвучена 8 грудня і усунена 3 лютого.

Схожа історія трапилася з браузером Chromodo від Comodo Internet Security. За словами інженера безпеки, в Chromodo не виконується правило обмеження домену і виконуваний код з одного сайту виконується на іншому. Крім того, при установці Chromodo останній імпортує всі збережені дані з заздалегідь визначеного Chrome, включаючи лінки, закладки, установки, куки, настройки DNS і багато іншого. Директор Comodo Чарльз Цінковскі заявив, що нова версія браузера була випущена з усуненими недоліками.

У випадку з Malwarebytes Орманді з’ясував, що браузер завантажує оновлення не по безпечному каналу зв’язку, що робить його вразливим для атак типу Man-In-The-Middle. Атакуючий може підмінити код під час оновлення та запустити його на комп’ютері жертви. Керівництво стверджує, що апдейт з виправленням буде випущений протягом чотирьох тижнів.

Google Project Zero покликаний виявляти уразливості в браузерах, створених на базі Chromium, і підвищувати їх безпеку для користувачів.

  • i

    Якшо Ви помітили помилку, виділіть необхідну частину тексту й натисніть Ctrl+Enter, щоб повідомити про це нам.

Дивись також
Рейтинг популярності матеріалу «Інженер Google виявив критичні уразливості в "безпечних" браузерах» на Finance.UA - 4.3
В Контексті Finance.UA