r   e   k   l   a   m   a
r   e   k   l   a   m   a

pwn2own 2013: pół miliona dolarów w puli nagród wystarczyło, by hakerzy załatwili wszystkie przeglądarki dla Windows

Strona główna Aktualności

Jeszcze rok temu Google mogło mówić, że Chrome jest najbezpieczniejszą przeglądarką spośród dostępnych na rynku. Teraz, po tegorocznym konkursie pwn2own, raczej już tak powiedzieć nie będzie mogło. Nie tylko zresztą Google – to co wydarzyło się podczas konferencji CanSecWest, w trakcie której tradycyjnie organizowany jest ten konkurs, można nazwać śmiało masakrą. Hakerzy opracowali najwyraźniej nowe techniki obejścia zabezpieczeń typu ASLR i DEP na Windows – i wykorzystali je do skutecznego zaatakowania wszystkich przeglądarek podczas pierwszego dnia konkursu.

Łączna wartość puli nagród wyniosła ponad pół miliona dolarów – tym razem ufundował je HP. Przykładowo za skuteczne pokonanie Chrome na Windows 7 można było otrzymać 100 tys. dolarów i laptopa, na którym przeprowadzono atak, podobną kwotę oferowano za IE10 na Windows 8. Najwyraźniej pieniądze okazały się wystarczającym bodźcem do działania, mimo że ataki musiały być wymierzone w przeglądarki uruchomione na w pełni zaktualizowanych wersjach Windows 7, Windows 8 i OS X 10.8.

Na pierwszy ogień poszedł Firefox, załatwiony przez hakerów z francuskiej firmy Vupen za pomocą podatności typu use-after-free (nie pierwszy raz zresztą), oraz obejścia zabezpieczeń ASLR i DEP. Ich ofiarą też padł IE10 na Windows 8, na którym wykorzystano dwie nieznane wcześniej podatności dla IE, oraz technikę obejścia sandboksa.

Z kolei badacze z MWRLabs, otwierając odpowiednio spreparowaną witrynę WWW w Chrome, zdołali uruchomić swój kod w procesie renderera. Znaleźli też w jądrze Windows podatność, pozwalającą na wyniesienie uprawnień i uruchomienie kodu poza sandboksem z uprawnieniami administratora poprzez wycieki z bibliotek dll.

Skutecznie poradzono sobie też pierwszego dnia z wtyczką Javy – najwyraźniej Oracle nie jest jednak w stanie zabezpieczyć tej technologii. Kolejny błąd przepełnienia sterty i (jedynie) 20 tysięcy dolarów dla hakerów z Vupena, Accuvant Labs i Contextis (kwoty płacone ewentualnym pogromcom Flasha i Adobe Readera były znacznie wyższe – po 70 tys. dolarów).

Co ciekawe, tym razem nikt pierwszego dnia nie poradził sobie z apple'owym Safari na OS-ie X, do tej pory regularnie padającym łupem uczestników pwn2own. Być może hakerzy woleli poświęcić swój czas na bardziej atrakcyjną nagrodę, niż oferowane za rozprawienie się z Safari 65 tys. dolarów. Google na siostrzanym konkursie Pwnium oferuje łączną pulę nagród w wysokości pi milionów dolarów (3,14159) dla osób, które poradzą sobie z chromebookiem Samsung Series 5 550 z najnowszą wersją ChromeOS-a. Poszczególne nagrody wynoszą tam nawet 150 tys. dolarów.

Kolejne wieści z pwn2own już wkrótce. Na pociechę warto dodać, że odkryte luki, na mocy reguł konkursu, nie mogą zostać upublicznione do momentu opracowania przez producentów poprawek i wydania ich w zaktualizowanych wersjach przeglądarek.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.