هکرها توانستند با استفاده از آسیب‌پذیری‌های ناشناس در IE 11 در حال اجرا روی ویندوز 8.1 و گوگل کروم در حال اجرا روی آندروید، دستگاه‌های سامسونگ Galaxy S4 ،Nexus 4 و Microsoft Surface RT را هک کنند.
طبق روال همیشه سه‌شنبه گذشته، سه‌شنبه اصلاحیه مایکروسافت بود. در این هفته مثل همیشه چند اصلاحیه نیز به مرورگر IE اختصاص داشت.

علاوه بر این طی یک هفته گذشته، مرورگرهای کروم و فایرفاکس نیز به‌روز رسانی شدند تا هیچ یک از مرورگرهای پرطرفدار جهان از به‌روز رسانی بی‌‌نصیب نماند.

در همین حال هفته گذشته برای سازندگان مرورگرها از این منظر اهمیت ویژه‌ای داشت که محصولاتشان در یک مسابقه امنیتی، به بوته آزمایش و بررسی گذاشته شد.

در این نشست، مرورگرهای کروم و IE در مرکز توجه قرار داشتند. چرا که این مرورگرها روی سیستم‌عامل‌هایی اجرا می‌شوند که سازنده آن‌ها ساخته است.

محققان امنیتی توانستند با استفاده از آسیب‌پذیری‌های ناشناس در IE 11 در حال اجرا روی ویندوز 8.1 و گوگل کروم در حال اجرا روی آندروید، دستگاه‌های سامسونگ Galaxy S4 ،Nexus 4 و Microsoft Surface RT را هک کنند.

این کدها در مسابقات هک Mobile Pwn2Own که در توکیو برگزار شد، مورد استفاده قرار گرفتند. دو محقق امنیتی از گروه ZDI که مسابقات را سازماندهی می‌کـردند، یـک کد سوء استفاده را از IE 11 روی دستگاه Microsoft Surface RT که در حال اجرای ویندوز 8.1 بود، در معرض نمایش قرار دادند.

یکی از این محققان عقیده داشت سوء استفاده از مشکل IE به دلیل حفاظت‌ها و کنترل‌های پیاده‌سازی شده بسیار دشوار است.

این آسیب‌پذیری دو بار مورد سوء استفاده قرار گرفت تا یک آدرس حافظه را فاش نماید و سپس منجر به اجرای کدی از راه دور شد. این سوء استفاده باعث می‌شود تا مهاجمان کنترل کاملی را روی ماشین آسیب‌پذیر به دست آورند.

گروه ZDI تاکید کرد که این آسیب‌پذیری به شرکت مایکروسافت گزارش شده است و در نتیجه این شرکت می‌تواند با برطرف نمودن آن، از کاربران خود در مقابل این آسیب‌پذیری محافظت نماید.

محقق دیگری با استفاده از یک آسیب‌پذیری در کروم توانست دستگاه‌های سامسونگ Galaxy S4 و Nexus 4 را هک نماید.

به دلیل استفاده کروم از Sandbox، اجرای کد از راه دور از طریق یکی از آسیب‌پذیری‌های کروم بسیار سخت است.

پیش از این Sandbox کروم در سال 2012 و در جریان مسابقات Google's Pwnium دو بار هک شده بود.

این محقق برای این هک از یک آسیب‌پذیری سر ریز عدد صحیح و یک روش دور زدن Sandbox استفاده کرده است.

برای انجام این هک باید یک قربانی بالقوه از طریق ایمیل یا پیام کوتاه روی لینکی در یک صفحه وب دستکاری شده کلیک نماید.

پس از باز شدن صفحه مخرب در کروم، این حمله بدون هیچ تعاملی با کاربر اجرا می‌شود و به مهاجم اجازه می‌دهد تا از راه دور کدی را روی سیستم‌عامل اجرا نماید.

همچنین تیمی از محققان امنیتی ژاپنی توانستند با استفاده از چند آسیب‌پذیری که در برنامه‌های کـاربردی بی‌نـام وجود دارد، دستگاه سامسونگ Galaxy S4 را هک نمایند.

این برنامه‌های بی‌نام به صورت پیش‌فرض توسط شرکت سازنده این دستگاه‌ها روی آن‌ها نصب شده‌اند. خوشبختانه این آسیب‌پذیری‌ها به شرکت گوگل گزارش شدند و این شرکت در کم‌تر از یک روز آن‌ها را ترمیم کرده و اصلاحیه مربوطه به آن را عرضه کرد.

اگر چه محققان کد سوء استفاده کننده از این آسیب‌پذیری‌ها را برای کروم روی سیستم‌های آندروید عرضه کرده بودند اما گوگل این آسیب‌پذیری‌ها را در کروم برای سیستم‌های ویندوز، مک و لینوکس و همچنین پلاگین Chrome Frame برای IE نیز برطرف کرده است.

شرکت گوگل این آسیب‌پذیری‌ها را تحت عنوان چند مسئله تخریب در حافظه شرح داده است اما برگزارکنندگان مسابقه مذکور معتقد بودند که این کد سوء استفاده کننده از یک آسیب‌پذیری سرریز عدد صحیح و آسیب‌پذیری دیگری که مجوز دور زدن محیط Sandbox را صادر می‌کرد، استفاده کرده است.

محیط Sandbox برنامه‌های کروم، پردازش نرم‌افزار مرورگر را از سیستم‌عامل آن جدا می‌کند و به این ترتیب اجرای کدهای دلخواه را در دستگاه هدف مشکل‌ می‌سازد.

از طرف دیگر شرکت مایکروسافت نیز در سه‌شنبه اصلاحیه‌های خود، 10 آسیب‌پذیری را برای مرورگرهای IE برطرف کرد؛ اگر چه این شرکت به این موضوع هم اشاره‌ای نکرده است که آیا آسیب‌پذیـری‌هـای نشـان داده شده در مسابقـه Mobile Pwn2Own توسط اصلاحیه‌های اخیر برطرف شده‌اند یا خیر.