Når en webbrowser står over for en større opdatering, der er to beslutninger, som udviklere normalt står: om at optimere koden eller tilføje nye funktioner til browseren. Det lyder fantastisk indtil det øjeblik, hvor de uundgåelige bedrifter og sikkerhedsmæssige huller opstår fra dybet af koden. I denne artikel, vi har formået at identificere de nyeste sikkerhedshuller, der er blevet opdaget i de to mest almindeligt anvendte browsere - Mozilla Firefox og Google Chrome.
Buffer Overflow i XML Parser i alle versioner før 38.0
Hvad der er specifikt om at udnytte, er, at en angriber kunne være i stand til at indsætte og aktivere en tilfældig kode, uden at det kræver særlige færdigheder til at gøre det. Som følge af denne, den potentielle hacker kunne have fået adgang til værdifulde oplysninger, lagret i browseren. Således, personlige oplysninger kan blive udsat delvist. Men, der også havde været en mulighed, at angriberen var i stand til at ændre system filer og gøre dem tilgængelige for cyberkriminelle.
Update.exe Fejl
Denne fejl var meget kritisk, da det var forbundet til en af de mest udnyttede sårbarheder i software – at hackere kan udnytte og påtage sig kontrol over dit system. De nærmere om denne fejl er, at på Windows OS-systemer, browseren ikke bekræfte og sikre, at vejen på den eksekverbare ligger i sin oprindelige position i app biblioteket. For at evaluere, betyder det, at det var åbent for ændringer eller endda udskiftninger med en trojansk hest af brugere i netværket (worst case scenario), give hackere fuld kontrol over din computer uden dit samtykke.
Den asm.js Fejl
Den asm.js er det programmeringssprog, der tillader computer motorer, baseret på C og JavaScript såsom dit online spil på Facebook, køre gennem din browser, som om de var installeret på din pc. Den særlige sikkerhedshul, der blev opdaget med det udnytter var, at det kunne give personer med talenter i kodning og JavaScript til at stjæle oplysninger såsom hjemmeside og bank legitimationsoplysninger, e-mailadresser, etc.
I betragtning af at Firefox har oplevet mange ændringer i årenes løb, Vi bør ikke forsømme sin Rival Google Chrome, fordi det er den mest udbredte browser derude.
The Row-hammer Exploit
Row-hammer repræsenterer en sårbarhed i Dynamic Random Access Memory, som har en masse at gøre med den manuelle omgåelse af hukommelse celler i DRAM organisation. Sikkerhedseksperter Google har for nylig opdaget, at en .cc sandkasse sagsakter ikke have grænser for NaCl (Native Client). Endvidere, dette exploit er baseret på huller i DRAM, som kan medføre fejl, og give adgang til brugeren uden nogen sikkerhedsgodkendelse og videregive vigtige oplysninger til hackere. Nedenfor vi ser clflush kommandoer, der bruges til at udføre angrebet:
De DDoS Udnytter
Google eksperter og andre anonyme fagfolk har afdækket flere bedrifter i Google Chrome på forskellige steder i programmet, der skaber forudsætninger for at sende flere pakker og Crash browseren kendt som DDoS-angreb.
Alle de exploits gav måde til delvis eksponering af brugeroplysninger og andre oplysninger, så godt som muligt modifikation over nogle systemfiler og forringet browser ydeevne.
HTMLConstructionsite.cpp Svaghed
Koden af HTMLConstructionside.Cpp repræsenterede en svaghed i forhold til det faktum, at der i de executeReparentTask scripts, som forvalter barn og forælder opgave, ifølge scriptet sprog, kan nemt modificeres af hackere og indstillet til at gøre mange forskellige skader på brugeren. Ved at have ændret den "barn" script nedenfor, en ondsindet kode kunne have været i stand til at stjæle oplysninger fra brugeren og, til en vis grad, ændre systemfiler. Nedenfor er en lille del af opgaven script af HTMLConstructionside.cpp.
Det er afgørende for at øge bevidstheden, med hensyn til disse web exploits, fordi, selvom de allerede er blevet fastsat i de nyere opdateringer, du ved aldrig, når en ny udnytte vil skabe en mulighed for sorte hatte til at udnytte og inficere din computer med de forskellige typer af malware. Det er grunden til hyppigt at opdatere din anti-malware program er altid anbefales af sikkerhedseksperter.
