Mysterie rond Google Chrome zero-day-lek
Een onbekend beveiligingslek in Google Chrome is nog altijd een mysterie. Dit weekend vond in India de Malcon hackerconferentie plaats. Een 19-jarige Russische systeembeheerder zou volgens het programma een nieuwe zero-day-aanval op Google Chrome demonstreren waarbij een aanvaller het aangevallen systeem volledig zou kunnen overnemen. De ontdekker van het probleem, Ucha Gobejishvili, besloot Google niet van tevoren in te lichten.
Google organiseerde het afgelopen jaar twee edities van Pwnium, waar het voor dit soort beveiligingslekken 60.000 dollar betaalde. Daar zou Gobejishvili niet in geïnteresseerd zijn. Tegenover de Security Ledger laat de Rus weten dat de kwetsbaarheid zich in een DLL bevindt die onderdeel van de browser is en in potentie ook op andere platformen zou werken, hoewel de demonstratie op Windows zou plaatsvinden.
Google
Precieze details wil hij niet prijsgeven. "Ik weet dat dit een zeer gevaarlijk probleem is...daarom publiceer ik niet meer details over deze kwetsbaarheid." Ook na de demonstratie is Gobejishvili niet van plan om Google te informeren. "Google weet dat ze een probleem in het Chrome product hebben."
Google tast nog altijd in het duister over het soort beveiligingslek dat de Rus zou demonstreren. Hoewel de conferentie inmiddels is afgelopen, is nog altijd onduidelijk of Gobejishvili zijn exploit heeft laten zien. In juli maakte de systeembeheerder onderstaande video van een aanval op Google Chrome.
Die snap ik niet, hoe kan ik DLL's gebruiken op mijn OS X laptop/bak of *nix machine?
Nietemin, jammer/niet zo netjes dat hij het niet deelt met Google en dus met het publiek.
Dat hij verder het volgende zeg: "Google weet dat ze een probleem in het Chrome product hebben.", geeft mij de indruk dat hij bedoelt dat Google een fundamenteel security probleem heeft met zijn browser.
Biedt VULPEN dan zoveel meer voor 0day exploits ?
Biedt VULPEN dan zoveel meer voor 0day exploits ?
waarschijnlijk VUPEN niet, denk eerder een 1 of andere underground source. of misschien de russische overheid ;)
ik vraag me af of het daadwerkelijk echt is. immers kan iedereen zomaar een .html maken met de tekst: "Your browser is pwned"
ik zou het pas geloven als hij (zoals anderen) laten zien in het filmpje dat hij ook daadwerkelijk verbinding kan maken met die "pwned" systeem. ik zie alleen een PoC.html echt veel meer bewijs zie ik niet behalve dat hij PuTTy laat zien, maar dan kan ook elke gebruiker.
nog raarder is dat hij niets tegen google vermeld...
we wachten de berichten af, misschien dat hij aankomende week z'n speelgoed zal tonen. (mocht het echt zijn)
Edit: of hij probeert Google zover te krijgen dat ze geld geven voor hij het laat zien.... hmm raar!
Google biedt 60.000 euro als er een lek gevonden word, dat nemen veel mensen maar al te graag aan. Kortom Google krijgt elk lek gewoon perfect in het handje gedrukt en kan deze vervolgens slapend fixen. Nou nu dus mooi niet.
Waarschijnlijk heeft meneer ergens anders gewoon meer geld gekregen voor het lek, of het is een fake
Pure blufpoker en ik kan nog niet echt bedenken waarom iemand dat zou doen, anders dan hele sneue redenen, of misschien inderdaad de prijs wat op te krikken. Maar dan moet je ook wel echt op de proppen komen met de exploit.
Er wordt dus niet bedoeld dat Chrome DLL's gebruikt op *nix, maar het equivalent ervan zal wel gewoon aanwezig zijn en mogelijk hetzelfde probleem bevatten.
-Popup restriction checks;
This was actually working as intended, you were hitting the pop-up limit. We did recently change this behavior though so this shouldn't work any more as of m22. You should now only be able the create one pop up per user gesture.
-Google Chrome Memory corruption Exploit;
@Longrifle0x, this is not a memory corruption crash. It is intentionally crashing on a sad tab from running out of memory.
-Clickjacking Vulnerability;
A clickjacking vulnerability implies that the user clicks on something other than what they intended to click, which doesn't seem to be happening here. This behavior is by design.
link: --https://code.google.com/p/chromium/issues/list?can=1&q=reporter%3Alongrifle0x--
Vooralsnog zeg ik: meh, een html docje en een PuTTy schermpje heen en weer slingeren is nog niet volledig overtuigend imao.
ps Is die kerel geen Georgier ipv Rus?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.