Po serii złamanych zabezpieczeń IE, Firefoxa, Chrome’a, Windowsa oraz Javy przyszła pora na ogłoszenie, które systemy nie poddały się w trakcie konkursów na konferencji CanSecWest. Lista jest krótka i są na niej tylko Chrome OS oraz Safari na OS X.
W czwartek opisywaliśmy przełamanie zabezpieczeń Internet Explorera 10 na Windows 8, Chrome na Windows 7 oraz Javy – a był to tylko pierwszy dzień konkursu Pwn2Own. Drugiego dnia zaprezentowano kolejne udane ataki.
Jako pierwsza kolejny pokaz przeprowadziła firma VUPEN, która, wykorzystując trzy różne błędy typu 0day, pokonała zabezpieczenia Flasha. Zarobiła tym samym 70 tysięcy dolarów, dorzucając je do 180 z poprzedniego dnia. Autorzy exploitów sami przyznali, że Adobe znacznie utrudnia ataki na Flasha poprzez łatanie nie tylko znanych błędów, ale również potencjalnych innych niebezpiecznych miejsc w kodzie.
Kolejny udany atak został przeprowadzony przez Georga Hotza, znanego z pierwszego jailbreaka iPhona oraz udanych ataków na Playstation 3. Tym razem jego celem był Adobe Reader XI, którego pokonał, jak sam opisał, najpierw włamując się do sandboxa, by następnie z niego uciec.
Ostatnim, nie budzącym emocji atakiem, było kolejne, bo już czwarte w ciągu 2 dni, pokonanie zabezpieczeń Javy – tym razem przez Bena Murphy’ego. W ten sposób łączna pula wypłaconych nagród wyniosła 420 tysięcy dolarów (z przewidzianego budżetu w wysokości pół miliona).
Co nie padło
Równie ciekawa, jak lista pokonanych systemów i aplikacji, jest lista tych, które oparły się włamywaczom. W ramach konkursu Pwn2Own jedyna kategoria, w której nie zanotowano żadnych zgłoszeń, to Apple Safari na platformie OS X Mountain Lion (z nagrodą 65 tysięcy dolarów).
Z kolei w konkursie Pwnium, organizowanym w tym samym czasie i miejscu przez Google, nie zanotowano żadnych zgłoszeń. Google proponowało wysokie nagrody za pokonanie zabezpieczeń systemu Chrome OS działającego na podstawowym modelu Chromebooka – 110 tysięcy dolarów za atak przez stronę www, wykorzystujący system lub przeglądarkę oraz 150 tysięcy za podobny atak, w którym włamywaczowi uda się przetrwać restart urządzenia. Google przewidziało pulę nagród w wysokości $3.14159 miliona dolarów, jednak nikt nie zgłosił się z działającym exploitem.
Czy oznacza to, że Safari na OS X oraz Chrome OS to najbezpieczniejsze systemy? Niekoniecznie – może stawki, oferowane za ujawnione błędy, okazały się niższe od czarnorynkowych…
Ekspresowe łatanie
Trzeba przyznać, że producenci zarówno Firefoxa, jak i Chrome’a bardzo szybko zareagowali na błędy ujawnione w ich przeglądarkach. Zarówno błąd use-after-free w edytorze HTML Firefoxa jak i błąd w Webkicie Chrome’a zostały załatane w czasie krótszym niż 24 godziny. Microsoft do tej pory nie poinformował, kiedy opublikuje łaty na IE10 oraz Windows 7 i 8, a o Oraclu, którego czeka najwięcej pracy, nawet nie wspominamy.