Эксперты Positive Technologies обнаружили две уязвимости в браузере Chrome для платформы Google Android. Эти уязвимости могли поставить под угрозу безопасность большинства новейших смартфонов и планшетов, поскольку, начиная с Android 4.1 "Jelly Bean", Chrome является основным браузером системы, пояснили специалисты. Воспользовавшись одной из найденных уязвимостей, злоумышленник мог получить доступ ко всем пользовательским данным в браузере Google Chrome, включая историю посещений, файлы cookies, кэшированную информацию и т.п. Вторая уязвимость позволяла выполнять произвольный JavaScript-код в контексте безопасности любого сайта. Речь идет об универсальной атаке типа «Межсайтовое выполнение сценариев» (Universal XSS), осуществив которую, злоумышленник мог скомпрометировать данные любого веб-сайта, например, банковские счета пользователя мобильного интернет-банка и произвести хищение денежных средств, говорится в сообщении компании Positive Technologies. Однако, специалисты Positive Technologies не разглядели еще 5 уязвимостей, закрытых в первом обновление безопасности для Chrome for Android и обнаруженных сторонним специалистом Такеши Терада (Takeshi Terada). Кроме еще одной UXSS-уявзимости, Такеши Терада обнаружил ряд недостатков в API-функциях, обработке протокола доступа к файлам "file://", а также возможности доступа к локальным данным через символьные ссылки и доступа к cookies из других приложений. Компания Google оценила уровень уязвимостей как "средний" и выплатила специалистам по программе вознаграждения по $500 за каждую закрытую уязвимость. Чтобы устранить ошибки в системе защиты браузера, пользователю необходимо загрузить и установить новую версию Chrome, доступную на Google Play Store.
Источник