Bezpieczeństwo

Pwn2Own 2015: przeglądarki bez szans w starciu z hakerami

przeczytasz w 2 min.

Specjaliści poradzili sobie z zabezpieczeniami w Google Chrome, Mozilla Firefox, Internet Explorer oraz Apple Safari.

Pwn2Own

W ubiegłym tygodniu odbyła się konferencja CanSecWest sponsorowana przez Hewlett-Packard Zero Day Initiative. W trakcie imprezy zorganizowano także tegoroczną edycję konkursu hakerskiego Pwn2Own. Podczas dwudniowych zawodów specjaliści poradzili sobie z zabezpieczeniami wszystkich czterech najważniejszych przeglądarek internetowych – Google Chrome, Mozilla Firefox, Internet Explorer oraz Apple Safari. 

Podczas pierwszego dnia HP przyznało nagrody w wysokości 317 500 dolarów dla naukowców, którzy wykryli i wykorzystali błędy w programach Adobe Flash, Adobe Reader, Internet Explorer oraz Firefox. Drugi dzień zmagań poświęcony był już wyłącznie czterem najważniejszym przeglądarkom internetowym.

Pierwsza nagroda (15 000 dol.) trafiła do hakera podpisującego się jako ilxu1a. Wykorzystał on lukę w pamięci Firefoksa, dzięki której w mniej niż sekundę przedarł się przez zabezpieczenia. Z przeglądarką fundacji Mozilla poradził sobie także nasz rodak, Mateusz Młyński. Dzięki swojemu programowi doprowadził do nieautoryzowanego podwyższenia uprawnień, za co otrzymał 55 tysięcy dolarów.

I choć obydwa te programy pokonały zabezpieczenia przeglądarki Firefox w mniej niż sekundę, ich stworzenie zajęło oczywiście znacznie więcej czasu. Daniel Veditz, główny inżynier Mozilli ds. bezpieczeństwa stwierdził, że szkodniki były bardzo zaawansowane. Niemniej prace nad załataniem luk już się rozpoczęły.

Dwukrotnie złamane zostały też zabezpieczenia 64-bitowej przeglądarki Internet Explorer 11. Udało się to ekipie 360Vulcan Team oraz działającemu w pojedynkę JungHoon Lee. Ci pierwsi wykorzystali lukę związaną z niezainicjowaną pamięcią. Koreańczyk natomiast wziął pod lupę luki TOCTOU (time-of-check to time-of-use), które pozwoliły mu zmodyfikować uprawnienia do zapisu I odczytu. 

JungHoon Lee przeprowadził również udane ataki na pozostałe przeglądarki. Jak więc możecie się domyślać, opuścił imprezę z pełnymi kieszeniami: otrzymał 75 tysięcy dolarów (za złamanie zabezpieczeń w Chrome), 65 tysięcy (IE) i 50 tysięcy (Safari) oraz dwie premie w wysokości łącznie 35 tysięcy dolarów.

Łącznie podczas Pwn2Own 2015 wykryto:

  • 5 błędów w systemie Windows
  • 4 błędy w Internet Explorer 11
  • 3 błędy w Mozilla Firefox
  • 3 błędy w Adobe Reader
  • 3 błędy w Adobe Flash
  • 2 błędy w Apple Safari
  • 1 błąd w Google Chrome

Szczegółowe podsumowanie znajdziecie na blogu HP. Poniżej zaś możecie zobaczyć wideo przygotowane przez HP:

Konferencja CanSecWest oraz odbywający się podczas niej konkurs Pwn2Own to świetna impreza. Pozwala specjalistom ds. bezpieczeństwa podzielić się swoimi odkryciami, za co oni otrzymują pieniądze, a my, użytkownicy, lepiej załatane oprogramowanie. 

Źródło: Softpedia, TechSpot, eWeek, ZDNet, HP Blog

Komentarze

6
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    stupidisco111
    27
    Jedyne co ja złamałem w życiu to nos . Po wybiegnięciu z klasy z zajęć technicznych pisania na maszynie, poślizgnąwszy się na mokrej szmacie w internacie, zarywszy czołowo o schodek.
    Niestety żadnej nagrody nie dostałem , nawet wyrobu czekoladopodobnego :(
    • avatar
      Konto usunięte
      24
      Panowie pewnie wykapsztoliliby niejeden bank, a pomagają w znalezieniu luk. Rispekt i szacuneczek.
      • avatar
        Konto usunięte
        5
        Brakuje info o Polaku, który (kolejny raz) też poradził sobie z Firefoxem i Windowsem - no i zgarnął kasę.

        W każdym razie, Koreańczyk dokonał nie lada wyczynu. I to w pojedynkę.
        Rozgromił Windowsa, IE11, Chrome'a stable i betę, Safari.
        Tym samym zgarniając najwyższą pulę nagród w historii.
        225 tysięcy dolarów, do tego trzeba jeszcze dodać laptopa na którym pracował.

        Witaj!

        Niedługo wyłaczymy stare logowanie.
        Logowanie będzie możliwe tylko przez 1Login.

        Połącz konto już teraz.

        Zaloguj przez 1Login