Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

0daye na w pełni załatany Windows 10 + Chrome. 0daye na w pełni załatanego Androida. 0daye na iOS…

19 marca 2021, 18:08 | W biegu | 0 komentarzy

…to arsenał tajemniczej grupy (grup?), którą opisuje Google Project Zero. Exploity było kolportowane z dwóch serwerów, a osadzane w różnych (zhackowanych?) stronach.

Co ciekawe nawet w momencie gdy jednak podatność została załatana w Androidzie, na serwerze pojawił się patch całego exploita – wykorzystano po prostu alternatywną podatność…

Kampania była odpalona pod koniec 2020 roku, a zestaw dziur, które były wykorzystane w atakach wygląda następująco:

W całym opisie Projektu Zero czuć respekt do twórców całej akcji – zapewnili oni skuteczne metody utrudniania analizy ataków (nawet specjalistom z Google nie udało się przechwycić pełnego ciągu wszystkich ataków), jedna z technik eksploitacji Chrome była całkowicie „nowatorska”, podobnie technika eskalacji uprawnień do root w iOS była „nietrywialna”.

Obecnie nie wiadomo kto stoi za całą kampanią…

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz