Kritikus 0day sebezhetőség az androidos Chrome böngésző JavaScript v8 engine-jében

Bug

A Tokióban tartott PacSec konferencia Mobile Pwn2Own szekciójában a Quihoo 360 biztonsági kutatója, Guang Gong felfedett egy, az androidos Chrome böngésző JavaScript v8 engine-jét érintő kritikus sebezhetőséget. A sebezhetőség részleteit egyelőre nem hozták nyilvánosságra.

A sebezhetőség kihasználásához elegendő rávenni a potenciális áldozatot egy megfelelően előkészített weboldal meglátogatására. A sebezhetőség kihasználása egy menetben lehetséges, nincs szükség több exploit összefűzésére. A Google-t már értesítették a hibáról. Mivel Gong a felelős közlés utat választotta, feltehetően jogosult a Google androidos jutalomprogramjában kiírt jutalomra.

A javítás megérkezéséig javasolt a Chrome böngésző helyett alternatív böngészőt használni.

Részletek itt és itt.

( trey | 2015. 11. 15., v – 14:45 )

Szeretem és használom a Google termékeit, de a Chrome sem desktopon, sem mobilon nem tudott nálam alapértelmezett lenni. Olyannyira, hogy mobilon nálam telepítve sincs (nem része a CyanogenMod-nak).

CyanogenMod-on a Cyanogen által karbantartott AOSP Browser (com.android.browser) van alapból, de én azt sem használom. Firefox nekem jobban kézre áll Androidon is.

--
trey @ gépház

Nalam a trend forditott: meg a youtube app-ot is szanaltam. Teljesen jo a firefoxos youtube lejatszas.

Nem terezem a vilag osszes weboldalanak az appjat feltenni:)

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

> Nekem is kézreállt a firefox, de az androido verzió elviselhetetlenül lassú,

Ezt en nem tapasztaltam: sony xperia Z1 compact, android 5.x; oneplusone cyanogenos 12.1; samsung Trend2(?) Android 4.0.4

Csinaltam egy side-by-side osszehasonlitast Samsung Trend2 es Oneplus One firefox-a kozott, es a Trend2 lenyegesen lassab, de ugyanugy renderelodik, es azt a 3-4 plusz masodpercet ki lehet birni.

Neked mondjuk egy index.hu hany masodperc alatt renderelodik le? Vagy mikortol szamit lassunak? Tudsz mondani egy oldalt es masodperc erteket, hoyg ossze tudjam hasonlitani?

Fennvan a Cyanogen alapertelmezett bongeszoje is valahol a beallitasok kozott, de mar nem is tudom mikor hasznaltam. Jah igen, amikor egy honlapot teszteltem, de igazabol a node.js bugzott:)

Marcius kornyeken tenyleg voltak bajok meg a Firefoxszal. Lehet, hogy regebbi a tapasztalatod vele?

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Ha már így bereklámoztad, újra feltelepítettem. Hasonlóan rosszak a tapasztalataim, mint legutóbb. Mondjuk most már legalább nem nagyon van ANR.

Általában egy híroldal (index.hu/20min.ch) és aloldalai vannak külön tabon megnyitva, esetleg pár reddit, hup, wikipedia cikk, amit utazás közben szoktam olvasgatni - mindezt UC browserrel, akár 6-8 tabon, miközben megy a spotify.

Firefox ezzel szemben annyi memóriát eszik, hogy a spotify-t kilövi a rendszer, a telefon meg tűzforró. Emellett belegörgettem az index főoldalába, és több másodpercet kellett várnom, amíg az oldal felénél elkezdett bármit is -pixelesen- renderelni.

Nem egy mai darab a telefonom (Xperia Arc S, 4.4-es cyanogenmod 11.5-tel); annyit látok, hogy UC browser visz mindent, gyorsan, kényelmesen, firefox meg döglődik rajta.

Ehh, amíg megírtam ezt a hozzászólást (addig nem nyúltam a telefonomhoz és a firefoxban betöltött index-hez), be volt fagyva az egész telefon, a Home gombra jött az ANR megint... Most éppen a We're sorry ablakocska néz velem farkasszemet...

Ez van sajnos. Desktopon szeretem, de androidon alulmarad más böngészőkhöz képest - esetemben a használhatatlanságig.

Megnyitottam az index.hu oldalat a Cyanogen beepitett bongeszojevel(1.0.2125.159860), a kezdooldal betoltese 9.3 masodperc volt (stopperoraval merve).

Firefoxszal(42.0, 2015.11.03) ugyanez 8.2 masodperc volt.

stopperora:
$ node
for (var i=0; i<5000; i++) { (function(i) {setTimeout(function() { console.log(i/10);}, 100*i);})(i) }

Spotify-t nem hasznalok, es ugy latom regisztracio nelkul nem is lehet kiprobalni, igy arrol nem tudok nyilatkozni.

En olyan 6-10 tabot szoktam megnyitni. Ilyen "befagyas"-sal (kopp-kopp) nem talalkoztam, de elhiszem neked. Nekem a firefox meg augusztusban szimplan kilepett indulasnal.

Szerintem mindenkepp erdemes par honaponta visszanezni, mert ugy nez ki, hoyg firefoxeknal a mobilos bongeszokbe olik mostanaban az eroforrasok jo reszet.

Amit nem szeretek pl. a Cyanogen bongeszojeben, hoyg az oldalak betoltesekor hajlamos villanni. Ez alatt azt ertem, hogy szovegdobozok, vagy a komplett oldal feher lesz majd kb. 0.5 masodperc mulva ujramegjelenik valamennyit frissulve.

Ilyen Firefox alatt nincs, ami egy baromi nagy pozitivum szamomra.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

A wiki szerint már Razr mobilokon is működött sőt még régebbi mobilokon is. Ezek csak az igen lowend hardverek. :) De lehetséges, hogy azóta mindent újraírtak és csak az UC név maradt. Mivel akkor Webkit még csak KHTML-ként létezett, valószínű csak a név és kínai fejlesztője azonos.

( toMpEr | 2015. 11. 15., v – 17:54 )

Egy masik eleg kritikus hiba a napokbol: http://blog.quarkslab.com/remote-code-execution-as-system-user-on-andro…

Ha egy zip fajlt lementesz cred[something].zip neven a /sdcard/Download/ konyvtarba (default a legtobb bongeszonel), akkor az automatikusan kicsomagolodik es egy hiba miatt barmilyen renderfajlt felul tud irni. (elfogad olyan zipfajlt amiben path-nak ../akarmi van megadva)

--------
Vultr VPS: SSD + 768MB RAM, 5USD/hó (benchmark), 20USD kupon: SSDVPS

When a filename begins with cred and ends with .zip is written in that specific directory, a routine is called to unzip the archive and to remove it from the /sdcard/Download/ directory when it's done.

Ez még akkor is arcpirító hülyeség lenne, ha nem lenne sérülékeny a kód. De mivel az, ezért minden bizonnyal valamelyik ügynökség backdoorjáról van szó.

( manfreed (nem ellenőrzött) | 2015. 11. 16., h – 11:20 )

Teljesen jó, hogy a Gugli annyit dolgozott azon, hogy az olyan cuccok, mint a webview, meg a default böngésző (a chrome annak számít, ugye?) az ne egy android verziófüggő valami legyen, hanem önállóan frissülő appok, hogy az ilyen hibák gyorsan megoldódjanak :)

Nem úgy mint a safariban :)

( zrubi v | 2015. 11. 16., h – 15:49 )

Noscript és/vagy Qubes alatt eldobható VM.

Így aztán számomra csak érdekesség egy-egy ilyen hír ;)

--
zrubi.hu