Kritikus 0day sebezhetőség az androidos Chrome böngésző JavaScript v8 engine-jében

 ( trey | 2015. november 15., vasárnap - 15:25 )

A Tokióban tartott PacSec konferencia Mobile Pwn2Own szekciójában a Quihoo 360 biztonsági kutatója, Guang Gong felfedett egy, az androidos Chrome böngésző JavaScript v8 engine-jét érintő kritikus sebezhetőséget. A sebezhetőség részleteit egyelőre nem hozták nyilvánosságra.

A sebezhetőség kihasználásához elegendő rávenni a potenciális áldozatot egy megfelelően előkészített weboldal meglátogatására. A sebezhetőség kihasználása egy menetben lehetséges, nincs szükség több exploit összefűzésére. A Google-t már értesítették a hibáról. Mivel Gong a felelős közlés utat választotta, feltehetően jogosult a Google androidos jutalomprogramjában kiírt jutalomra.

A javítás megérkezéséig javasolt a Chrome böngésző helyett alternatív böngészőt használni.

Részletek itt és itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Szeretem és használom a Google termékeit, de a Chrome sem desktopon, sem mobilon nem tudott nálam alapértelmezett lenni. Olyannyira, hogy mobilon nálam telepítve sincs (nem része a CyanogenMod-nak).

CyanogenMod-on a Cyanogen által karbantartott AOSP Browser (com.android.browser) van alapból, de én azt sem használom. Firefox nekem jobban kézre áll Androidon is.

--
trey @ gépház

Nekem is kézreállt a firefox, de az androido verzió elviselhetetlenül lassú, míg a stock browser, meg UC szélsebes :-(

De hogy ontopik is legyek, vajon mennyire különbözik a mobilos chrome v8 az asztali (vagy akár a node.js-t hajtó) v8-származékoktól?

Firefox valahogy tényleg nem jó élmény Androidon.
Opera Mini is jó meg az UC is.

Bevallom, hogy nagyon ritkán olvasok weboldalakat telefonról. Amiket meg igen, ahhoz ált. a natív appjukat használom, így nem nagyon van összehasonlítási alapom.

--
trey @ gépház

Nalam a trend forditott: meg a youtube app-ot is szanaltam. Teljesen jo a firefoxos youtube lejatszas.

Nem terezem a vilag osszes weboldalanak az appjat feltenni:)

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

"Nem terezem a vilag osszes weboldalanak az appjat feltenni:)"

Esetemben összesen kettőről beszélünk :D

--
trey @ gépház

Akkor a Firefox OS neked való lenne, ha mára elszúrta volna el a Mozilla.

> Nekem is kézreállt a firefox, de az androido verzió elviselhetetlenül lassú,

Ezt en nem tapasztaltam: sony xperia Z1 compact, android 5.x; oneplusone cyanogenos 12.1; samsung Trend2(?) Android 4.0.4

Csinaltam egy side-by-side osszehasonlitast Samsung Trend2 es Oneplus One firefox-a kozott, es a Trend2 lenyegesen lassab, de ugyanugy renderelodik, es azt a 3-4 plusz masodpercet ki lehet birni.

Neked mondjuk egy index.hu hany masodperc alatt renderelodik le? Vagy mikortol szamit lassunak? Tudsz mondani egy oldalt es masodperc erteket, hoyg ossze tudjam hasonlitani?

Fennvan a Cyanogen alapertelmezett bongeszoje is valahol a beallitasok kozott, de mar nem is tudom mikor hasznaltam. Jah igen, amikor egy honlapot teszteltem, de igazabol a node.js bugzott:)

Marcius kornyeken tenyleg voltak bajok meg a Firefoxszal. Lehet, hogy regebbi a tapasztalatod vele?

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Ha már így bereklámoztad, újra feltelepítettem. Hasonlóan rosszak a tapasztalataim, mint legutóbb. Mondjuk most már legalább nem nagyon van ANR.

Általában egy híroldal (index.hu/20min.ch) és aloldalai vannak külön tabon megnyitva, esetleg pár reddit, hup, wikipedia cikk, amit utazás közben szoktam olvasgatni - mindezt UC browserrel, akár 6-8 tabon, miközben megy a spotify.

Firefox ezzel szemben annyi memóriát eszik, hogy a spotify-t kilövi a rendszer, a telefon meg tűzforró. Emellett belegörgettem az index főoldalába, és több másodpercet kellett várnom, amíg az oldal felénél elkezdett bármit is -pixelesen- renderelni.

Nem egy mai darab a telefonom (Xperia Arc S, 4.4-es cyanogenmod 11.5-tel); annyit látok, hogy UC browser visz mindent, gyorsan, kényelmesen, firefox meg döglődik rajta.

Ehh, amíg megírtam ezt a hozzászólást (addig nem nyúltam a telefonomhoz és a firefoxban betöltött index-hez), be volt fagyva az egész telefon, a Home gombra jött az ANR megint... Most éppen a We're sorry ablakocska néz velem farkasszemet...

Ez van sajnos. Desktopon szeretem, de androidon alulmarad más böngészőkhöz képest - esetemben a használhatatlanságig.

Megnyitottam az index.hu oldalat a Cyanogen beepitett bongeszojevel(1.0.2125.159860), a kezdooldal betoltese 9.3 masodperc volt (stopperoraval merve).

Firefoxszal(42.0, 2015.11.03) ugyanez 8.2 masodperc volt.

stopperora:
$ node
for (var i=0; i<5000; i++) { (function(i) {setTimeout(function() { console.log(i/10);}, 100*i);})(i) }

Spotify-t nem hasznalok, es ugy latom regisztracio nelkul nem is lehet kiprobalni, igy arrol nem tudok nyilatkozni.

En olyan 6-10 tabot szoktam megnyitni. Ilyen "befagyas"-sal (kopp-kopp) nem talalkoztam, de elhiszem neked. Nekem a firefox meg augusztusban szimplan kilepett indulasnal.

Szerintem mindenkepp erdemes par honaponta visszanezni, mert ugy nez ki, hoyg firefoxeknal a mobilos bongeszokbe olik mostanaban az eroforrasok jo reszet.

Amit nem szeretek pl. a Cyanogen bongeszojeben, hoyg az oldalak betoltesekor hajlamos villanni. Ez alatt azt ertem, hogy szovegdobozok, vagy a komplett oldal feher lesz majd kb. 0.5 masodperc mulva ujramegjelenik valamennyit frissulve.

Ilyen Firefox alatt nincs, ami egy baromi nagy pozitivum szamomra.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Talán a különbség abból fakad, hogy nekem pl. 1 cpu mag van a telefonomban. Ezen UC hasít. Igazából semmi más nem, de a firefox sajnos a többitől is elmarad.

A OnePlus One-on nekem teljesen használható a Firefox. Én nem nagyon látom lassúnak. BTW: a OnePlus One is maholnap 2 éves telefon lesz a piacon (2014. áprilisában indult az árusítása).

--
trey @ gépház

Ez az UC browser milyen böngészőmotort használ? A szokásos Webkit-et vagy valamilyen saját kínai fejlesztést?

Webkit fork és server oldali processing elvileg.

Én meguntam, az Opera Mini gyorsabban hozza a dolgokat és nekem elég. Mondjuk eléggé lowend hardveren futtatom: Lenovo A3500 (MTK 1GB RAM) illetve Fujitsu M532 (Tegra3 1GB RAM).

A wiki szerint már Razr mobilokon is működött sőt még régebbi mobilokon is. Ezek csak az igen lowend hardverek. :) De lehetséges, hogy azóta mindent újraírtak és csak az UC név maradt. Mivel akkor Webkit még csak KHTML-ként létezett, valószínű csak a név és kínai fejlesztője azonos.

Jóideje tűzrókát használok androidon, eleinte valóban eléggé használhatatlan volt, de mostanra teljesen jó. Van, hogy pár oldalon szarul rendereli a betűket, de egyéb hibával nem találkoztam.

CyanogenMod, Cyanogen OS vagy OxygenOS?
Most akkor melyik van a OnePlus One-on?

Gyárilag CyanogenOS van a OnePlus One-on. De én jó ideje CyanogenMod Nightly-t használok rajta.

--
trey @ gépház

Nálam a Chrome messze nyeri a böngészős csatát, főleg a sebesség miatt.

--
arch,debian,openelec,android

Öregecske Android telóm van, és legelőször ott váltottam Chrome-ra, mert a Firefox kritikán alul teljesített. Utána váltottam desktopon is.

--

+1
sokáig nem akartam váltani, de mobilon borzasztó volt a fox.
utána a szinkronizáció miatt váltottam desktopon is. pedig desktopon vannak (voltak) olyan funkciói a Firefoxnak, amit a Chromeból hiányolok - de a mobilos teljesítménye miatt...

Egy masik eleg kritikus hiba a napokbol: http://blog.quarkslab.com/remote-code-execution-as-system-user-on-android-5-samsung-devices-abusing-wificredservice-hotspot-20.html

Ha egy zip fajlt lementesz cred[something].zip neven a /sdcard/Download/ konyvtarba (default a legtobb bongeszonel), akkor az automatikusan kicsomagolodik es egy hiba miatt barmilyen renderfajlt felul tud irni. (elfogad olyan zipfajlt amiben path-nak ../akarmi van megadva)

--------
Vultr VPS: SSD + 768MB RAM, 5USD/hó (benchmark), 20USD kupon: SSDVPS

bookmark

Ez így elsőre nagyon keménynek hangzik. A cikket még nem olvastam.

Samsung eszközökön. A CM Nightly-ben javítva van (utolsó kép, utolsó elem).

--
trey @ gépház

Legjobb módszer root jog szerzéshez :)

--
A főnököm mindig megtartja amit ígér, ha pénzt ígér azt is!

Idézet:
When a filename begins with cred and ends with .zip is written in that specific directory, a routine is called to unzip the archive and to remove it from the /sdcard/Download/ directory when it's done.

Ez még akkor is arcpirító hülyeség lenne, ha nem lenne sérülékeny a kód. De mivel az, ezért minden bizonnyal valamelyik ügynökség backdoorjáról van szó.

Teljesen jó, hogy a Gugli annyit dolgozott azon, hogy az olyan cuccok, mint a webview, meg a default böngésző (a chrome annak számít, ugye?) az ne egy android verziófüggő valami legyen, hanem önállóan frissülő appok, hogy az ilyen hibák gyorsan megoldódjanak :)

Nem úgy mint a safariban :)

Noscript és/vagy Qubes alatt eldobható VM.

Így aztán számomra csak érdekesség egy-egy ilyen hír ;)

--
zrubi.hu

FYI: mobilböngészőről szól a hír.

--
trey @ gépház

Ohh, see.

Akkor az előző hozzászólásomat kérem töröljék a jegyzőkönyvből :)

--
zrubi.hu