基于JavaScript的攻击简洁了浏览器漏洞利用

发布时间：2021-11-18 14:37 所属栏目：125 来源：互联网

导读：研究人员设计了一种新的攻击，可以绕过浏览器中的主要利用缓解之一：地址空间布局随机化（ASLR）。该攻击利用现代处理器如何缓存内存，因为它不依赖于软件错误，修复问题并不容易。 Vrije Universiteit Amsterdam（Vusec）的系统和网络安全集团的研究人员推出

研究人员设计了一种新的攻击，可以绕过浏览器中的主要利用缓解之一：地址空间布局随机化（ASLR）。该攻击利用现代处理器如何缓存内存，因为它不依赖于软件错误，修复问题并不容易。

Vrije Universiteit Amsterdam（Vusec）的系统和网络安全集团的研究人员推出了攻击，在10月以来与处理器，浏览器和OS供应商协调后，将ANC Dubbed Anc。

[进一步阅读：它和C级领导人在网络防御中互相指点
ASLR是所有主要操作系统中存在的功能。包括浏览器在内的应用程序，利用它来利用存储器损坏漏洞，如缓冲区溢出更加困难。

缓解技术涉及随机排列过程使用的存储器地址空间位置，使得攻击者不知道在哪里注入恶意代码，以便该过程执行它。

有些方法可以绕过ASLR，但它们通常涉及将多个漏洞链接在一起，包括允许内存披露的漏洞。这次新攻击删除了这种额外漏洞的需求，使得对远程代码执行错误的利用更容易。

“这种新攻击确实非常有趣，如果据报道，漏洞情报公司漏洞风险安全，通过电子邮件的漏洞智能公司风险安全的首席研究官Carsten Eiram表示。“它可以在不同平台上的许多代码执行类型漏洞中链接，甚至可以支持JavaScript的不同软件，例如浏览器。最重要的是，它似乎很快允许打破ASLR，所以在现实生活中看起来很实际，而不仅仅是理论或学术。“

是什么让攻击有趣的是它不依赖于任何特定的软件功能。它利用现代处理器的存储器管理单元（MMU）执行内存缓存以提高性能的方式。

（编辑：ASP站长网）