基于JavaScript的攻击简洁了浏览器漏洞利用
发布时间:2021-11-19 04:18:54 所属栏目:大数据 来源:互联网
导读:研究人员设计了一种新的攻击,可以绕过浏览器中的主要利用缓解之一:地址空间布局随机化(ASLR)。该攻击利用现代处理器如何缓存内存,因为它不依赖于软件错误,修复问题并不容易。 Vrije Universiteit Amsterdam(Vusec)的系统和网络安全集团的研究人员推出
|
研究人员设计了一种新的攻击,可以绕过浏览器中的主要利用缓解之一:地址空间布局随机化(ASLR)。该攻击利用现代处理器如何缓存内存,因为它不依赖于软件错误,修复问题并不容易。 Vrije Universiteit Amsterdam(Vusec)的系统和网络安全集团的研究人员推出了攻击,在10月以来与处理器,浏览器和OS供应商协调后,将ANC Dubbed Anc。 [进一步阅读:它和C级领导人在网络防御中互相指点 ASLR是所有主要操作系统中存在的功能。包括浏览器在内的应用程序,利用它来利用存储器损坏漏洞,如缓冲区溢出更加困难。 缓解技术涉及随机排列过程使用的存储器地址空间位置,使得攻击者不知道在哪里注入恶意代码,以便该过程执行它。 有些方法可以绕过ASLR,但它们通常涉及将多个漏洞链接在一起,包括允许内存披露的漏洞。这次新攻击删除了这种额外漏洞的需求,使得对远程代码执行错误的利用更容易。 “这种新攻击确实非常有趣,如果据报道,漏洞情报公司漏洞风险安全,通过电子邮件的漏洞智能公司风险安全的首席研究官Carsten Eiram表示。“它可以在不同平台上的许多代码执行类型漏洞中链接,甚至可以支持JavaScript的不同软件,例如浏览器。最重要的是,它似乎很快允许打破ASLR,所以在现实生活中看起来很实际,而不仅仅是理论或学术。“ 是什么让攻击有趣的是它不依赖于任何特定的软件功能。它利用现代处理器的存储器管理单元(MMU)执行内存缓存以提高性能的方式。 (编辑:辽源站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |