Návod na stažení a spuštění
Výzkumníci firmy Vupen uvedli, že našli způsob, jak obejít ochranu prohlížeče Google Chrome i ochranu implementovanou ve Windows 7. Exploit by teoreticky mohl umožnit útok typu Zero-day.
Samotný útok má několik kroků. Nejprve se prolomí samotný prohlížeč, pak ochranný prvek prohlížeče Sandbox a nakonec pak bezpečnostní ochrana operačního systému ASLR a DEP (Address Space Layout Randomization a Date Execution Prevention). Firma Vupen tvrdí, že se útočníkovi takto může podařit spustit vzdáleně svůj kód ve Windows 7. A samozřejmě také ve starších operačních systémech Windows, které mají méně bezpečnostních prvků.
Podle videoukázky na serveru Youtube stačí, aby byl uživatel nalákán na podvodný web. Nic dalšího není potřeba ze strany uživatele dělat, protože se jedná o zranitelnost drive-by-download. Prohlížeč sám stáhne podstrčený spustitelný soubor a spustí jej mimo Sandbox přímo v počítači. V ukázce se takto například spouští program Kalkulačka.
Postižené firmy - Microsoft a Google - prozatím tvrzení Vupenu nepotvrdily. Vupen také kromě již zmíněné videoukázky nezveřejnil žádné technické detaily o možném útoku.
