07.03.2013 | 09:45

Adam Haertle

Chrome, Firefox, IE10 i Java zhakowane w konkursie Pwn2Own

W dzisiejszych czasach żadnego oprogramowania nie można uważać na całkowicie bezpieczne. Nawet najbardziej aktualne wersje najlepszych przeglądarek mogą paść ofiarą hakerów. Świetnie obrazują to wstępne wyniki konkursu Pwn2Own.

Odbywający się od roku 2007 przy okazji konferencji CanSecWest konkurs Pwn2Own przyciąga uwagę mediów, ponieważ w ciągu dwóch dni pokonywane są zabezpieczenia najpopularniejszych programów, używanych przez miliony internautów – przeglądarek www i ich wtyczek. Tegoroczna edycja, organizowana jak zwykle przez HP ZDI we współpracy z Google, również zaczęła się samymi udanymi atakami.

Jako pierwsze odbyły się dwie próby ataku na Javę, autorstwa Jamesa Forshawa i Joshuya Drake’a. Obie próby okazały się udane i zabezpieczania Javy zostały pokonane. Biorąc pod uwagę historię wpadek Oracla z tą platformą, trudno mówić tutaj o zaskoczeniu. Obaj zwycięzcy otrzymają po 20 tysięcy dolarów, ponieważ stawka za skuteczne pokonanie Javy była najniższa w całym konkursie.

Drugi udany atak wzbudził więcej zainteresowania, ponieważ specjalistom z kontrowersyjnej firmy VUPEN udało się wykonać własny kod w systemie Windows 8 z przeglądarką IE10 jedynie poprzez odwiedzenie odpowiednio spreparowanej strony www. Biorąc pod uwagę ilość różnych mechanizmów bezpieczeństwa zarówno w przeglądarce jak i systemie operacyjnym, należy uznać, że było to sporym sukcesem. Chaouki Bekrar, prezes firmy, opowiadał, że znalezienie odpowiednich błędów w przeglądarce oraz skutecznych metod ich wykorzystania zajęło jego zespołowi wiele tygodni. Ich wysiłek zostanie nagrodzony najwyższą jednorazową wypłatą – 100 tysięcy dolarów.

Kolejny sukcesem atakujących okazał się najnowszy Chrome i Windows 7. Tym razem laury zwycięstwa przypadły firmie MWR Labs i jej ekspertom, Nilsowi i Jonowi. Oprócz ataku na przeglądarkę, wykorzystali oni także błąd w jądrze Windowsa, by ominąć zabezpieczenia przed nieautoryzowanym wykonaniem kodu. Sukces MWR Labs jest tym większy, że tuż przed konkursem zespół Google Chrome opublikował nową wersję przeglądarki, usuwając z niej wiele błędów (na co skarżył się VUPEN, który nie pokazał tym razem skutecznego exploita na Chrome). Wypłata za udany atak na Chrome również była sowita – 100 tysięcy dolarów.

Dzień udanych ataków zakończył kolejny popis ekspertów z firmy VUPEN, którzy pokonali zabezpieczenia Firefoxa (use-after-free) na Windows 7 (60 tysięcy dolarów) oraz Javy. Na jutro zapowiedziane są ataki na Flasha, Adobe Readera oraz IE10.

Powrót

Komentarze

  • 2013.03.07 13:09 Michał

    Ciekawe jaką cenę uzyskano by na czarnym rynku za podatność w win 8.

    Odpowiedz
  • 2013.03.07 13:11 radek

    A ja tu jakies parszywe sqli klepie za grosze…

    Odpowiedz
  • 2013.03.07 15:00 Grzechooo

    Na produkty Adobe nagrody powinny być nawet niższe niż na Javę, bo to cholerstwo jest jeszcze bardziej dziurawe.

    Odpowiedz
  • 2013.03.09 00:31 eehhh

    za jakies 2-3 tyogdnie jak wypuszcza poprawki znowu trzeba bedzie wszystko aktualizowac… eehhh

    Odpowiedz

Zostaw odpowiedź do radek

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Chrome, Firefox, IE10 i Java zhakowane w konkursie Pwn2Own

Komentarze