iPhone 4 złamany podczas drugiego dnia zawodów Pwn2Own 2011

Android i Chrome niepokonane !!!

Brawa dla Google !!!

jak nie udało im się pokonać chroma to firefoxa tym bardziej, a może po prostu są to programy o najwyższym poziomie bezpieczeństwa...

Chrome ma najlepsze zabezpieczenia ZDECYDOWANIE bardziej zaawansowane niż Firefox.

Sam weteran tych zawodów Charlie Miller podkreślał to już wiele razy. Chodzi m.in. o Sandbox którego brak w FF czy też o osobne procesy których również brak w FF.

GalusAnonimus - osobne procesy w FF są od dawna.

Szkoda, że nie jest napisane dokładniej, którą wersję Firefoksa próbowali łamać.

Wczoraj pisali, ze Chrome'a nikt nie złamał, bo NIKT GO NIE ŁAMAŁ.

Więc daruj sobie te googlową propagandę. :)

Firefoksa też nie złamano.

@tomimaki
walczyli o ostatnią stabilną wersją zaktualizowaną przez Mozillę na tę okazje, czyli 3.6.15

@GalusAnonimus: „Android i Chrome niepokonane !!! Brawa dla Google !!!”

Windows Phone 7 niepokonany! Brawa dla Microsoftu!

(Już rozumiesz, że napisałeś głupstwo?)

@Voltar

Na poprzednich zawodach próbowali łamać Chrome i nic z tego nie wyszło, natomiast FF wtedy poległ :)

@Voltar Skoro nikt go nie łamał to o czymś to świadczy, hę?

no dokładnie.. nie wiem czy to juz dziś bawią się z wersjami + zainstalowanym flash czy jakimiś rozszerzeniami ale z gołą przeglądarką pewnie nie idzie tak łatwo znaleźć na szybko luki więc czekają na więcej opcji, poz atym google dobrze płaci za luki więc ktoś kto już zgłosił je wcześniej raz nie wykorzysta jej po drugie załatana, a można tylko takie o których nikt nic nie wiedział

@jacke_
Ok, bo zastanawiałem się widząc, że iOS to wersja 4.2.1, czyli nie najnowsza.
Ale ta 3.6.15 nie była specjalnie na Pwn2Own. Naprawiono tylko problemy z niektórymi apletami Javy.

Dlatego używam firefoxa bo wiem, że jest nie do złamania ha.

Jak dla mnie to Chrome jest nie do złamania pokazał to wcześniej i do tego doszedł sandbox

hacker/cracker brzmi bez mocy. lepiej nazywajmy ich CZARNE KAPELUSZE

Miła wiadomość, że lisek przechytrzył łamaczy serc :-D. Moim skromnym zdaniem uważam ,że wszystkie przeglądarki stoją już na wysokim poziomie jeśli chodzi o zabezpieczenia. I coraz trudniej jest się włamać przez nie do systemu bądź narobić w nim bałaganu:-).

Google chrome to zwykła propaganda firmy, najpierw bulą 20 tys. $ za złamanie, po czym 2 dni przed aktualizują, różnie dobrze mogli zabulić, żeby to nie zostało złamane.

Chętnych na androida i wp7 nie było - kto mi powie co z tego wynika ?

@smaky

"Dlatego używam firefoxa bo wiem, że jest nie do złamania ha."

Nie ma oprogramowania którego nie można złamać. Wszystko jest kwestią czasu.

@DonM$
"różnie dobrze mogli zabulić, żeby to nie zostało złamane"

Nie przesadzaj. Apple i Microsoft też by przecież mogły. Stać ich.

Chrome to dobra przeglądarka... jednak tylko pod Windows7. Google trochę za bardzo okroił Chrome pod XP. Wersja dla XP nie ma słynnego mechanizmy "sandbox" dla Flasha, nie jest zabezpieczona poprzez ASLR itd.

Szczególnie ten drugi mechanizm jest ważny ponieważ uniemożliwia obejście 'sandboxa'. Haker który złamał IPhone przyznał że dziś nie byłoby to już możliwe ponieważ Apple zaktualizowało wszystkie telefony do wersji 4.3 wprowadzając ASLR znany z Windows7.

Wie ktoś czy Firefox 4.0 ma pod Windows 7 ochronę ASLR?

Ciekawe jakim kryterium kierowali się hackerzy. Czy wybierali najsłabsze ich zdaniem ofiary, czy szukali wyzwania. W grę, jak wiadomo, wchodzi niemała kasa i nos mi podpowiada, że wybierali opcję nr 1. Stąd też brak podejścia do Chrome czy też słaby skład w walce z FF, przecież lepiej pokonać słabiaka, skoro taką samą kasę się zgarnia.

Podejrzewam, że jakby dzień wcześniej MS wypuścił finalną IE9, i brałaby udział w konkursie to byłaby trudna do złamania. Nie mieliby czasu na przestudiowanie dokumentacji.

P tym numerze jaki wyciął Google to nie wróżę im dalszego wzrostu sympatyków. W 2 dni nawet najlepszy haker się nie przygotuje do nowego wydania softu. Tydzień to rozumiem, ale 2 dni...

Google narobiło uczestnikom kupę na głowę. Myślę że to z chciwości, bo teraz gdyby hakerzy spięli poślady i zaczęli szukać dziur w nowym sofcie to trochę im to zajmie. Na pewno nie wyrobią się przed końcem konkursu. Za to po konkursie mogą jedynie wziąć nędzne grosze $1337. Już bardziej będzie opłacać się sprzedać info o dziurze na czarnym rynku.

Aha, gdyby ktoś chciał szukać dziur w Chrome:
1. Absolutnie nie należy tego robić na komputerze podłączonym do sieci. Chrome samo zaraportuje i już jutro może być łata = figa z kasy.
2. Absolutnie nie należy takiego komputera podłączać do sieci jeżeli znalazło się dziurę. Chrome też może zaraportować całą historię swoich wpadek. Po znalezieniu dziury, robimy notatki i bez podłączania do netu robimy format dysku, a po postawieniu systemu na nowo posługujemy się inną przeglądarką.

@tomimaki
Stabilną.

Mimo wszystko nie udało się złamać Firefoxa (mimo braku sandboxa) , więc Trolle obojętnie co napiszecie nie ma to większego sensu.

@ DonM$ | 11.03.2011 14:10
"Chętnych na androida i wp7 nie było - kto mi powie co z tego wynika ?"

A no to że Android jest zbyt dobrze zabezpieczony i nikt nie potrafił go złamać. Natomiast WP7 jest tak niszowy że nikt nawet sobie nim głowy nie zawracał.

@ RaveStar | 11.03.2011 14:28

Ogarnij się człowieku, przy takiej aktualizacji (inni też ją wykonali!) zmienia się jakieś 0,001% kodu w przeglądarce!

Czy dociera już to do twojej główki... czy dalej nie ogarniasz.

@Nazir50

WP7 nikt nie używa wiec bardzo trudno znaleść lukę na odległość:)

a z tego co czytam to przeciwnicy WP7 narzekają na archaiczność systemu, a nie bezpieczeństwo, a bezpieczeństwo to temat IE i windowsów

Czy wszystko jest kwestią czasu? Być może, ale lepszym czynnikiem jest, że szybkość szukania luk jest wprost proporcjonalna do popularności danego softu (oczywiście poza konkursem, co w zasadzie jest istotniejsze).

Poza tym śmieszą mnie te wypowiedzi "bo Chrome się zaktualizował 2 dni przed konkursem i dlatego beee". Moim zdaniem widać, że producent nie tyle myśli o tym czy jego przeglądarka padnie pod jakimś atakiem na mniej lub bardziej znanym konkursie, a o bezpieczeństwie użytkowników. Nie wydałby poprawek szybko, to zwlekając naraziłby rzesze ludzi na ataki i straty. Czas nigdy nie działa na korzyść wykrytych luk bezpieczeństwa. Analogicznie w drugą stronę - wydał poprawki, to jest do bani, bo pewnie bał się, że złamią program. Ludzie...

FF 4 jest obecnie chyba najwydajniejszą i najbardziej bezpueczną przeglądarką jaką udało się napisać przez Mozillę, oczywiście Chrome też trzyma formę a i jeszcze Opera i IE

Opera - nudziarstwo z gimnazjum 2,15%:D
IE - kotlet trzeciej kategorii zmielony z budą, popularny tylko dlatego że jest w systemie domyślnie zainstalowany a jak wiadomo Lameró nie brakuje
Chrome - szpiegi i kiepskie wtyczki w zamian za wydajność thx.

@GalusAnonimus
"Ogarnij się człowieku, przy takiej aktualizacji (inni też ją wykonali!) zmienia się jakieś 0,001% kodu w przeglądarce! "

Uczysz ojca dzieci robić? ;)

"Wie ktoś czy Firefox 4.0 ma pod Windows 7 ochronę ASLR"

Na zeszłorocznym konkursie, złamano IE, które korzystało z ASLR... W tym raku IE padło jako pierwsze, a nie wieżę aby MS nie wykorzystał ASLR i innych zabawek.

@RaveStar

:) to się uśmiałem z tym raportowaniem :)

PS a to canary buildów i innych nie ma?

@GalusAnonimus
Podaj statystyki, oraz nie obrażaj innych, gdy nie podoba Ci się ich zdanie.

@Nazir50

Pwn2Own jeszcze się nie skończył. A co do opinii, to zwykle zwracam uwagę tylko na opinie specjalistów, lub ludzi z gotowymi exploitami.

Wniosek najbezpieczniejsze są nowe programy więc niech firmy cześciej wydają nowe wersje, IE8 od razu puścił bo już stary jest, a WP7 ładnie się trzyma bo za mało czasu na atak. Wielkie brawa dla FF wersja 3.6 jest już od dawna i nie puścił.

@przemo_li
":) to się uśmiałem z tym raportowaniem :)"

Może to z przymrużeniem oka, ale stawiając $20k nie byłbym już taki pewien. ;)

I okazuje się która przeglądarka zasługuje na miano bytu, jest to niestety "FF" wspaniali internauci.

Brawo dla Mozilli :) Może za rok Google nie zrobi hakerów w konia, i pokaże jakie to wielce oświecone Chrome jest bezpieczne ;)

xD haha szczycicie się że do firefoxa nikt się nie włamał że niby bezpieczny... tak samo można powiedzieć że notatnik jest mega bezpieczny bez dziur itd... bo nikt go na tych zawodach jeszcze nie próbował łamać :P

a ogólnie to trzeci dzień zawsze jest najciekawszy,

@natuszek
Firefoksa próbowano łamać, Chrome - nie. Ciekawe jak pójdzie im dzisiaj.

o sorry, fakt przepraszam zwracam honor, moje przeoczenie,

Google=GOD

PAMIĘTAJCIE - WIELKI BRAT MA NAD WAMI WŁADZĘ.

Jelonki i fanatycy googlaste poczekacie to się w końcu doczekacie :)

Nie nazywajcie tego zawodami bo nikt tam w niczym nie konkuruje miedzy soba. To konferencja na ktora kazdy przygotowywuje sie tygodniami wchodzi na scene i pokazuje wyniki swoich przygotowan (za ktore dostaje kase). Nikt tam z niczym nowym sie nie mierzy bo wszystko ma przygotowane duzo wczesniej.
Teksty w stylu "Ciekawe jak pójdzie im dzisiaj" sa po prostu smieszne :-)

@GalusAnonimus

"Ogarnij się człowieku, przy takiej aktualizacji (inni też ją wykonali!) zmienia się jakieś 0,001% kodu w przeglądarce!"

I te 0,001% kodu wystarczy by złamać produkt.

@bre
Jakbyś nie wiedział to na złamanie zabezpieczeń Firefoksa zgłosiły się 2 osoby. Wczoraj próbowała tylko jedna osoba.

@czerw ojoj, tragedia normalnie, nie kminie tego lęku, przewrażliwienia na temat anonimowości, odpal sobie sieć TOR jak tak Ci zależy

dlatego rozważniejsi używają chromium :P

@natuszek A fanatycy prywatności SRWare Iron ;)

@cinek40
Dzięki za cynk. ;)

Firefox nadal nie złamany, no proszę, miłe zaskoczenie;)

@RaveStar A jak za prywatność oddasz życie to XeroBank ;) Mod Firefoxa łączący się z siecią TOR. Strony się trochę wolniej ładują bo w końcu strona musi przejść przez serwery TOR, ale działa dobrze ;)

No jak na razie brawa dla Mozilli jak na razie Firefox 3.6.15, trzyma się dzielnie, przyznaję się nie myślałem że ta wersja przeglądarki oprze się hakerom, a jednak, ale miło się tak pomylić.

@cinek40
Aż takim desperatem nie jestem. TOR to cofka do czasów modemu analogowego. ;)

@Pablo79
I o to chodzi. Z resztą, po tym co zrobił Google sam bym dał spokój Fx w geście solidarności.

Za kilka dni sypnie dziurami z nowego Chroma, ale to nic panie, na pwn2own dał radę debeściak. ;)

Pirat świetny tym razem.

a jednak była luka w Chrome! tylko nie udało się wyjść z piaskownicy

http://googlechromereleases.blogspot.com/2011/03/stable-and-beta-channel-updates...

A operowy troll master twierdzi, że Firefox jest najniebezpieczniejsza przeglądarką.
Teraz widać jaki sens mają jego bezsensowne wypowiedzi :)

I mnie Iceweasel w najnowszej wersji 3.6.15 i tak nie przechodzi crash-testu lcamtufa;) Wysypuje się, SIGSEV;p
http://lcamtuf.blogspot.com/2011/01/announcing-crossfuzz-potential-0-day-in.html tu opis
http://lcamtuf.coredump.cx/cross_fuzz/ a tu katalog, do wybrania test w .html
Kto się nie boi, niech włazi;)

"[...]najlepsi hakerzy zmierzyli się ze smartfonem iPhone 4. Nie udało się im natomiast pokonać Firefoksa."

Ten akapit ma taki sens, jak:
"Vortal dobreprogramy.pl publikuje artykuły. Nie stanęli jednak na podium."

@Nazir50

"Z tym łamaniem zabezpieczeń to jakoś też nie ma dużo odważnych i jeszcze muszą się gimnastykować kilka tyg. aby im wyszło."

Weź pod uwagę że exploita do IE8 pisała JEDNA osoba podczas gdy większość całe zespoły osób.

"A to że nie ma chętnych do ujawniania luk i wad w FF lub Chrome to też nie wykluczone że wszystko sterowane i opłacone za kulisami aby tylko konkurencję ośmieszyć.
Przecież wiadomo kto dostał zaproszenie i w jakim celu... tylko naiwni myślą że FF lub Chrome jest tak super..."

Jak się nie ma argumentów to się ośmiesza i wysuwa ciekawe teorie spiskowe, coś jak master_zonk6 :)

"Jedno jest faktem...że FF od 2 lat ma najwięcej dziur każdego roku łatanych w ilości ujawnionej oficjalnej około 80, co daje jej prymat najbardziej dziurawej przeglądarki roku.
Czyli nie jest tak różowo z FF jak się można domyślać."

No widzisz, a jednak pomimo tylu dziur przeglądarka się oparła. Dziury będą w każdym oprogramowaniu (oprócz "hello world" :), kwestia bezpieczeństwa to jak prędko są łatane.

@Nazir50 (nieco zdubluje kolegę powyżej, ale cóż)
"Z tym łamaniem zabezpieczeń to jakoś też nie ma dużo odważnych i jeszcze muszą się gimnastykować kilka tyg. aby im wyszło."
Łamanie zabezpieczeń to nie jest rach-ciach. Żeby dość do rzeczy, o której zabezpieczeniu zapomniał developer programu, który tworzy ten program od (przykładowo) 7 lat i nad tym programem siedzi cały zespół programistów, to na prawdę ciężka sprawa.

"A to że nie ma chętnych do ujawniania luk i wad w FF lub Chrome to też nie wykluczone że wszystko sterowane i opłacone za kulisami aby tylko konkurencję ośmieszyć.
Przecież wiadomo kto dostał zaproszenie i w jakim celu... tylko naiwni myślą że FF lub Chrome jest tak super..."
Zagrania Google można się ewentualnie doczepić z tą łatką na ostatnią chwilę.
Za to teoria, że Google i Mozilla płacą łapówki jest trochę bez sensu, kiedy mówimy o ich konkurencie - Microsoft, który ma znacznie więcej pieniędzy i nie takie łapówki już dawał (webmaster'om na początku MSIE, czy twórcom hardware'u). Co jak co ale większym łapówkarzem jest raczej MS (chociaż nigdy nie będziemy w 100% pewni tych łapówek MS, bo MS się nie przyzna, a dopóki nie przyzna tego to nie mamy 100% pewności... ale z 80-90% pewności mamy) chociaż nie mówię, że Google też musi w 100% czysto grać, bo i oni dysponują pieniędzmi, które by im pozwoliły na manipulację.

"Jedno jest faktem...że FF od 2 lat ma najwięcej dziur każdego roku łatanych w ilości ujawnionej oficjalnej około 80, co daje jej prymat najbardziej dziurawej przeglądarki roku.
Czyli nie jest tak różowo z FF jak się można domyślać."
:o Fx (swoją drogą nieco niepoprawnego skrótu użyłeś) co jak co, ale jest przodującą przeglądarką w bezpieczeństwie.
Jeśli patrzymy pod kontem ilości ZAŁATANYCH dziur to MSIE przoduje w bezpieczeństwie, bo MS mnóstwo dziur po prostu nie łata... czyli bezpieczna przeglądarka to taka, która ma dziury, których nie naprawia, a niebezpieczna to przeglądarka z dziurami, które poprawia... ciekawe...
Dziury są w każdej przeglądarce, kwestia tylko czy te dziury są łatane czy siedzą latami pozostawionymi na pastwę cracker'ów (tak jak jest w MSIE).

WP7 nie był ruszany, bo mało kto zna ten system, jest zbyt świeży. Jeśli za rok WP7 będzie jeszcze żył, to można się już dzisiaj zakładać, że zostanie złamany.

@Nazir

Fakt, tu się z Tobą zgodzę, w osatatnim czasie w Firefoxie znaleziono sporo luk i błędów, tyle że zostały one załatane.

No jeżeli nie jest tak różowo z Firefoxem, to dlaczego obecna wersja stabilna czyli Fx 3.6.15 oparła się hakerskiej próbie w konkursie Pwn20wn. A IE8, który wg. ciebie jest najbezpieczniejszy, poległ. (Co prawda wedle nieoficjalnych prób wersja RC IE9 oparła się jednak).

z resztą, kto czytał wypowiedzi zwycięzców i gdzieś się zabłąkał w okoliczne tematy, to doczytał np. że złamanie ie8 wymagało wykorzystania 3 dziur - szczegółów nie podano dalej, zgodnie z regułami konkursu. Ale zagłębiając się w temat dalej, do tej pory znana była tylko jedna metoda na wyjście z ProtectedMode ie8 - i polegała ona na tym, by ie8 renderował stronę jakby była w bezpiecznej strefie (np. trusted zone), gdzie domyślnie przetwarzanie stron ma wyłączone ProtectedMode. Zrównanie (suwaczkiem ;-)) zabezpieczeń bezpiecznych stref do poziomu Internet Zone sprawia, że jedyny znany przed pwn2own sposób nie zadziała. Nowy sposób - nie wiadomo czy wyjście na światło dzienne przed załataniem.

iOwned :)

"W dalszej części zawodów zdołano złamać także Firefoksa 3.6."

z innego serwisu ;]

@synek03

A źródło?

@Nazir50
Ten news jest z 25 marca 2010 roku i dotyczy Pwn2Own 2010. Poszukaj sobie w Google.

@Nazir50
To ciekawe co piszesz bo Firefox nie został złamany. Podajesz newsa z poprzedniej edycji Pown2Own 2010 a ten tekst "Pochodzący z Niemiec haker Nils, zastosował podobną metodę, aby pół godziny później rozbroić zabezpieczenia Firefoxa 3.6 i przejąć zdalnie kontrolę nad przeglądarką Mozilli." jest z 25 marca 2010.

http://www.ubucentrum.net/2011/03/chrome-android-i-firefox-przetrway.html

jako aktualizacja

@synek03

Poczekaj cierpliwe na jakąś wiarygodną informację. Na stronie, którą za źródło podaje wymieniona przez Ciebie strona, nie ma informacji o złamaniu firefoxa.

(http://www.afterdawn.com/news/article.cfm/2011/03/11/pwn2own_chrome_android_fire...)

Poza tym "Firefox fixed 10 security flaws the day before the contest started, and Google fixed 9."
Czy tak było faktycznie?

@ #69 matzu

podałem tylko źródło tego gdzie to przeczytałem, nie zgłębiałem tematu dalej bo mnie to nie jara.

@synek03

Rozumiem. A widzisz mnie to interesuje, tak więc lubię jak ktoś wrzuca choć w jakimś stopniu sprawdzone linki. Nie mogę tego jednak wymagać od użytkownika, którego drugie imię to dezinformacja i nie mam tu bynajmniej na myśli Ciebie.

@Nazir

Cytuję twoją wypowiedź z tematu "Safari i Internet Explorer złamane jako pierwsze podczas Pwn2Own 2011 ":

"Od dawna wiadomo że dziurawe programy_aplikacje i ich klucze mogą zmieniać_uszkadzać w rejestrze MS dużo i być zagrożeniem bezpieczeństwa... a łaty na FF,Chrome inne po czasie to jak dziurawe kalosze do których już woda się wlała i noga jest mokra. :D
IE jest bardziej bezpieczna od tego całego badziewia darmowego od innych... łatają jedno a zostaje luka w innym miejscu i tak kilka lat już ..."

To jeżeli Chrome jest tak dziurawe i niebezpieczne to dlaczego z niego korzystasz, bo z postu nr #71 wynika że piszesz właśnie z przeglądarki Google Chrome.

Oj, biedny Microsoft. Nie stać ich na łapówkę dla hakera ;)

A jakby ci dali 100 000 za jednak pokazanie się i podjęcie próby włamu do Fx 3.6, to co pokazałbyś się czy nie.

Jak słusznie zauważyłeś może najbardziej dziurawa przeglądarka ale jednak łatana i wszystkie owe błedy zostały załatane. Czego niestety nie można powiedzieć o browserze od Microsoftu.

Zresztą podajesz stare info z 2009 roku, ale nie to jest istotne, istone dla mnie jest to że Google, Mozilla, Opera Software łatają wykryte luki w miarę na bieżąco, czego nie można powiedzieć dotychczas o Microsofcie, chyba że od momentu premiery IE9 nasatwienie giganta z Redmond się zmieni, ale zbytnio na to nie liczę.

No fakt, faktem ja u siebie jak dotychczas nie ujrzałem BSOD-a spowodowanego przez IE, jak jest u innych nie wiem nie będe się wypowiadał.

Ok ja też kiedyś bawiłem się nawet IE6 pod Windows XP i nie miałem problemów z wirusami itp, ale nie bedę twierdził, że żadnych luk nie miał, bo miał i to co nie miara.

Z której by przeglądarki nie korzystać, to trzeba myśleć co się robi i w co się klika. Antyvirus jest dobrym zabezpieczeniem, ale też nie zwalnia z myślenia.

@Pablo79
oj pablo ,pablo na jednym z kilku PC-tów działają smyki w wieku 9-13lat od dwóch lat niema tam żadnego antywirusa robie to dla testu i jakoś wszystko hula.

@mariant

To tylko potwierdza moim zdaniem tezę, że antyvirus to nie wszystko jeszcze, nie zwalnia on bowiem z myślenia.

Jeśli google promując chrome użyje argumentacji 'bezpieczna przeglądarka, niezłamana, ble ble ble...' to go odinstaluję i będę używał juz tylko ff 4. Trzeba mieć jakieś zasady. :)

Ciekawe, jakie zabezpieczenia (programy) beda rozbrajac za rok?
Wiekszosc i tak ma zalosne zabezpieczenia.