mboost-dp1
Direkte link til pressemeddelelsen og deres video bevis: http://www.vupen.com/demos/VUPEN_Pwning_Chrome.php
Exploit virker KUN på Windows platformen og skulle eftersigende bunde i hvor komplekst det var at få Chrome til at fungere emd en sandbox derpå (22000 linjer kode i Windows, 500 på Linux).
Exploit virker KUN på Windows platformen og skulle eftersigende bunde i hvor komplekst det var at få Chrome til at fungere emd en sandbox derpå (22000 linjer kode i Windows, 500 på Linux).
Jeg kan ikke lade være med at undre mig over de to ikoner i højre hjørne. Det ene af dem forsvinder efter exploitet er udført, men kigger man nærmer kan man se at det også er programmet der kører (process_explorer64.exe). Jeg kan ikke lade være med at tvivle lidt på rigtigheden af deres udtalelse, specielt når de ikke deler deres information med Google.
Videoen kan ret nemt fakes.
Videoen kan ret nemt fakes.
#2
Det er fordi det er Windows 7 x64. Process Explorer laver en 64bit kompatibel ting, så den kan læse de 64bit programmer der kører. Det er helt normalt, og den forsvinder bagefter fordi vedkommende lukker programmet. Når programmet lukkes, så sletter den 64bit tingen.
Anyway, et eller andet sted synes jeg det er skræmmende. Noget andet siger mig at det muligvis er hoax - alle med et multimedie tastatur kan trykke på deres calc-knap. Dog kan jeg se at calc.exe bliver eksekveret med lavere integritet end på min egen laptop, så noget må VUPEN have ændret.
Noget helt tredje får mig til igen at overveje at installere Ubuntu på min laptop som primært OS og så lade de Windows programmer jeg bruger køres i VM eller via WINE hvis det er muligt. Det er jo ikke så meget et problem i Chrome som det er et problem i Windows. Få det nu fixet, Microsoft!
Dog skal det jo lige siges at man skal lokkes ind på en side der hoster exploitet. Det bringer jo bare diskussionen tilbage med at man jo for hulen må tænke lidt over hvad man klikker på :)
Det er fordi det er Windows 7 x64. Process Explorer laver en 64bit kompatibel ting, så den kan læse de 64bit programmer der kører. Det er helt normalt, og den forsvinder bagefter fordi vedkommende lukker programmet. Når programmet lukkes, så sletter den 64bit tingen.
Anyway, et eller andet sted synes jeg det er skræmmende. Noget andet siger mig at det muligvis er hoax - alle med et multimedie tastatur kan trykke på deres calc-knap. Dog kan jeg se at calc.exe bliver eksekveret med lavere integritet end på min egen laptop, så noget må VUPEN have ændret.
Noget helt tredje får mig til igen at overveje at installere Ubuntu på min laptop som primært OS og så lade de Windows programmer jeg bruger køres i VM eller via WINE hvis det er muligt. Det er jo ikke så meget et problem i Chrome som det er et problem i Windows. Få det nu fixet, Microsoft!
Dog skal det jo lige siges at man skal lokkes ind på en side der hoster exploitet. Det bringer jo bare diskussionen tilbage med at man jo for hulen må tænke lidt over hvad man klikker på :)
Sikkerhedseksperter kalder sikkerhedsbruddet ret alvorligt, hvis det passer, men undrer sig også over, at firmaet har valgt at offentliggøre det, netop når de lever af at sælge den slags oplysninger til andre, da de så bare advarer potentielle mål.
Hvorfor undrer de sig dog over det? "Vi har knækket sikkerheden i Chrome" er da rimelig god reklame for ens firma...og muligvis en bedre investering på langt sigt end at forsøge at sælge info om sikkerhedshullet!
Jeg må nu også sige at jeg er lidt skeptisk overfor om dette er sket eller ej.
Det kan blot være det er et desperat forsøg på opmærksomhed.
Og hvis de nu aldrig går hen og afslører hvordan det blev gjort, mens ingen andre formår at gøre det samme, så kan vi vel aldrig vide om de rent faktisk gjorde det. En video er på ingen måde bevis nok.
Det kan blot være det er et desperat forsøg på opmærksomhed.
Og hvis de nu aldrig går hen og afslører hvordan det blev gjort, mens ingen andre formår at gøre det samme, så kan vi vel aldrig vide om de rent faktisk gjorde det. En video er på ingen måde bevis nok.
Yepp, og franskmænd var de første til en ansigtstransplantation...
Nu er de først med at smadre Chrome, men ser man på det her med ansigtet, kan man godt tvivle på, hvor godt det virker...
http://i.dailymail.co.uk/i/pix/2008/12/17/article-...
Nu er de først med at smadre Chrome, men ser man på det her med ansigtet, kan man godt tvivle på, hvor godt det virker...
http://i.dailymail.co.uk/i/pix/2008/12/17/article-...
Zungate (9) skrev:Kun mig der studser over at et firma der åbenbart lever af at sælge den slags information til regeringer osv vælger at bruge ordet "pwned"?
Det virker totalt malplaceret i mine øjne.
Jeg tænkte lidt på det samme.. Pwned virker ikke som et ord et professionelt sikkerhedsfirma bruger.
Zungate (9) skrev:Kun mig der studser over at et firma der åbenbart lever af at sælge den slags information til regeringer osv vælger at bruge ordet "pwned"?
Det virker totalt malplaceret i mine øjne.
Tænkte jeg også, men tror dog det er en reference til Pwn 2 Own konkurrencen.
Dette er et desperat forsøg på opmærksomhed. Hvis man har regeringer som kunder så lægger man da ikke sådan en video ud på nettet men holder tværtimod sine kort tæt ind til sig så ingen aner uråd. Hvis jeg var en regeringsmagt der var ude på markedet for at finde den her slags muligheder så kunne jeg da aldrig drømme om at handle hos et firma der tydeligvis ikke kan holde sin kæft. DYBT uprofessionelt.
Deres postulat er jo løgn og latin fra ende til anden.
Deres postulat er jo løgn og latin fra ende til anden.
Jeg forstår ikke argumentet med at det må være løgn og slet ikke fordi der eksistere en youtube film om det? det afslører jo ingen ting andet end at de viser det er muligt for dem at kørere kode på maskinen når crome går ind på et website..
For et firma der angiveligt lever af at finde sikkerhedshuller i systemer og folk betaler for at få disse huller tilkende gjort synes jeg det virker logisk at de ikke går til google eller andre som ikke er deres kunder. Hvad ville deres kunder ellers betale for?
Så vil jeg ikke komme ind på det etiske for det er et holdningsspørgsmål som vi kan diskutere til evighed.
Jeg formoder at grunden til at de ikke går til google er vel frygten for at de vil offentlig gører den indtil de får det rettet.
For et firma der angiveligt lever af at finde sikkerhedshuller i systemer og folk betaler for at få disse huller tilkende gjort synes jeg det virker logisk at de ikke går til google eller andre som ikke er deres kunder. Hvad ville deres kunder ellers betale for?
Så vil jeg ikke komme ind på det etiske for det er et holdningsspørgsmål som vi kan diskutere til evighed.
Jeg formoder at grunden til at de ikke går til google er vel frygten for at de vil offentlig gører den indtil de får det rettet.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund