pwn2own 2013: pół miliona dolarów w puli nagród wystarczyło, by hakerzy załatwili wszystkie przeglądarki dla Windows

Jeszcze rok temu Google mogło mówić, że Chrome jestnajbezpieczniejszą przeglądarką spośród dostępnych na rynku.Teraz, po tegorocznym konkursie pwn2own, raczej już tak powiedziećnie będzie mogło. Nie tylko zresztą Google – to co wydarzyłosię podczas konferencji CanSecWest, w trakcie której tradycyjnieorganizowany jest ten konkurs, można nazwać śmiało masakrą.Hakerzy opracowali najwyraźniej nowe techniki obejścia zabezpieczeńtypu ASLR i DEP na Windows – i wykorzystali je do skutecznegozaatakowania wszystkich przeglądarek podczas pierwszego dniakonkursu.Łączna wartość puli nagród wyniosła ponad półmiliona dolarów – tym razem ufundował je HP. Przykładowo zaskuteczne pokonanie Chrome na Windows 7 można było otrzymać 100tys. dolarów i laptopa, na którym przeprowadzono atak, podobnąkwotę oferowano za IE10 na Windows 8. Najwyraźniej pieniądzeokazały się wystarczającym bodźcem do działania, mimo że atakimusiały być wymierzone w przeglądarki uruchomione na w pełnizaktualizowanych wersjach Windows 7, Windows 8 i OS X 10.8.Na pierwszy ogień poszedł Firefox, załatwiony przez hakerów zfrancuskiej firmy Vupen za pomocą podatności typu use-after-free(niepierwszy raz zresztą), oraz obejścia zabezpieczeń ASLR i DEP.Ich ofiarą też padł IE10 na Windows 8, na którym wykorzystanodwie nieznane wcześniej podatności dla IE, oraz technikę obejściasandboksa. [img=fixing]Z kolei badacze z MWRLabs, otwierając odpowiednio spreparowanąwitrynę WWW w Chrome, zdołali uruchomić swój kod w procesierenderera. Znaleźli też w jądrze Windows podatność, pozwalającąna wyniesienie uprawnień i uruchomienie kodu poza sandboksem zuprawnieniami administratora poprzez wycieki z bibliotek dll. Skutecznie poradzono sobie też pierwszego dnia z wtyczką Javy –najwyraźniej Oracle nie jest jednak w stanie zabezpieczyć tejtechnologii. Kolejny błąd przepełnienia sterty i (jedynie) 20tysięcy dolarów dla hakerów z Vupena, Accuvant Labs i Contextis(kwoty płacone ewentualnym pogromcom Flasha i Adobe Readera byłyznacznie wyższe – po 70 tys. dolarów).Co ciekawe, tym razem nikt pierwszego dnia nie poradził sobie zapple'owym Safari na OS-ie X, do tej pory regularnie padającym łupemuczestników pwn2own. Być może hakerzy woleli poświęcić swójczas na bardziej atrakcyjną nagrodę, niż oferowane za rozprawieniesię z Safari 65 tys. dolarów. Google na siostrzanym konkursiePwnium oferuje łączną pulę nagród w wysokości pi milionówdolarów (3,14159) dla osób, które poradzą sobie z chromebookiemSamsung Series 5 550 z najnowszą wersją ChromeOS-a. Poszczególnenagrody wynoszą tam nawet 150 tys. dolarów.Kolejne wieści z pwn2own już wkrótce. Na pociechę warto dodać, że odkryte luki, na mocy reguł konkursu, nie mogą zostać upublicznione do momentu opracowania przez producentów poprawek i wydania ich w zaktualizowanych wersjach przeglądarek.