沙箱被突破原来Chrome也不完全靠谱（附视频）

法国安全公司利用了谷歌浏览器的漏洞，绕过其沙箱安全功能，ASLR和DEP能力。谷歌浏览器Chrome的沙箱安全技术，旨在阻止恶意代码渗入系统进程，已被VUPEN安全公司的研究人员的绕开（compromised by researchers at VUPEN Security）。

桑植ssl适用于网站、小程序/APP、API接口等需要进行数据传输应用场景，ssl证书未来市场广阔！成为创新互联的ssl证书销售渠道，可以享受市场价格4-6折优惠！如果有意向欢迎电话联系或者加微信：18980820575（备注：SSL证书合作）期待与您的合作！

在周一发布的一份公告中，该公司称其研究团队发现了谷歌浏览器中的一个零日漏洞。该漏洞让研究团队绕过了Chrome所有的安全功能，包括地址空间布局随机化（ASLR），数据执行保护（DEP），这两种技术是为了阻止入侵者获取对正在运行的进程的访问。

“虽然Chrome浏览器拥有最安全的沙箱之一，并在过去三年的Pwn2Own比赛中都幸存了下来，但是我们现在发现了一种可以在任何默认Chrome安装程序上，执行任意代码的可靠方法，尽管Chrome有沙箱，ASLR和DEP，”VUPEN公司在公告中说道。

绕开安全防御技术的工作在Windows系统上完成，同时依靠零日漏洞。VUPEN公司表示，该攻击可以再不利用Windows内核漏洞的情况下就可以成功。

VUPEN公司表示不会公开披露开发代码或漏洞底层的技术细节。该公司发布一个相应的视频作为证据，证明了浏览器的漏洞被利用。

一位谷歌的发言人对KrebsOnSecurity的Brian Krebs说，谷歌的工程团队无法核实VUPEN的说法，因为VUPEN没有分享任何与他们的发现有关的信息。如果该漏洞被证实，谷歌会发布一个针对浏览器的自动更新。

在过去TippingPoint Pwn2Own 比赛中，ASLR和DEP的漏洞就已显现。使用这些技术的微软表示，一次成功的攻击需要极为复杂的措施，其中包括多个零日漏洞。

沙箱技术，一直被认为是针对常见攻击者目标应用的防御添加层。Adobe系统公司开发的Adobe Reader X也使用了沙箱技术来阻止攻击。一位攻击者绕过了Adobe Flash Player中一个类似的沙箱功能。谷歌承认，沙箱是不是万能的方法，但一个附加的安全层，可以阻止许多攻击。

chrome沙箱被攻破视频

原文出处：http://itknowledgeexchange.techtarget.com/security-bytes/vupen-outs-sandboxing-weaknesses-in-google-chrome-attack/

【编辑推荐】

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源：创新互联

猜你还喜欢下面的内容