threatpost - Danes se je v sklopu konference CanSecWest v Vancouvru začelo vsakoletno tekmovanje v vdiranju v brskalnike in operacijske sisteme Pwn2Own. Prvi dan so si tekmovalci prislužili 317.500 dolarjev, ko so zlomili Adobe Reader in Flash, Windows, Internet Explorer 11 in Firefox. Jutri bo na sporedu drugi dan tekmovanja.
Najprej sta ekipi Team509 in KeenTeam razbili Adobe Flash. KeenTeam je Flash razbila že tudi lani. Obe sta letos izrabili isto ranljivost, in sicer sta s prekoračitvijo kopice (heap overflow) izvedli nepooblaščeno kodo ter z eskalacijo privilegijev pridobili dostop do jedra Windows. Prejeli sta 85.000 dolarjev (60.000 za Flash in 25.000 za Windows). Nicolas Joly, ki je svoj čas delal za VUPEN, je prav tako uspešno zlomil Flash, a je uporabil drugo ranljivost. Prejel je 30.000 dolarjev, a ne ker bi bil njegov podvig slabši, temveč ker je bil izžreban na slabše mesto. Le prvi uspešni zlom se namreč nagradi s polnim zneskom, preostali pa s polovičnim. Toda prejel je še dodatnih 60.000 dolarjev za uspel napad na Adobe Reader. Tudi ekipi KeenTeam in TencentPCMgr sta uspešno zlomili Reader, le da prek druge luknje.
Mariusz Mlynski je v 0,542 sekunde sesul Firefox in pridobil poln dostop do Windows. Spet je prejel 30.000 dolarjev za Firefox in 25.000 za Windows. Odkril je fundamentalno napako v Windows, ki jo bo Microsoft najhitreje zakrpal. Letos namreč spet velja, da so tekmovalci zavezani uporabljene ranljivosti razkriti proizvajalcem, ki potem pripravijo popravke, preden postanejo podrobnost javno znane. Na koncu so 360Vulcan Team uspešno napadli še 64-bitni Internet Explorer 11 za 32.500 dolarjev, kar je polovica razpisane nagrade, ker ranljivost bi bila kritična.
Skupna bilanca prvega dne je torej 3 luknje v Adobe Reader, 3 luknje v Adobe Flashu, 3 luknje v Windows, 2 luknji v Internet Explorerju 11 in 2 luknji v Firefoxu. Jutri bodo na tnalu Safari (50.000 dolarjev), Chrome (75.000 dolarjev) in Internet Explorer (65.000 dolarjev). Ranljivosti v Chromu 42, ki je še v beta verziji, bodo nagrajene z 10.000 dolarji.
Novice » Varnost » Prvi dan Pwn2Own padle vse tarče
MrStein ::
kar je polovica razpisane nagrade, ker ranljivost bi bila kritična.
ni bila kritična?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
BlackMaX ::
Mariusz Mlynski je v 0,542 sekunde sesul Firefox
Zelo slaba novica. Dejmo FF, popravite to!!!
Zelo slaba novica. Dejmo FF, popravite to!!!
fiction ::
0,542 s je totalno irelevanten podatek. Pove samo to, da zelo verjetno ni bil potreben nek večji heap spraying.
sisemen ::
CellarDoor je izjavil:
Zakaj jih raje ne zaposlijo in jim vmes plačujejo?
Ker so predragi :) Tole kar so tule zasluzili je samo vrh ledene gore, vmes se celo leto prodajajo ranljivosti raznim gov. agencijam. Verjetno so tako ali tako razkrili samo eno, najmanj zanimivo, iz svojega repertoarja.
Zgodovina sprememb…
- spremenilo: sisemen ()
Izi ::
0,542 sekunde? Firefox bi lahk vsaj mal več naredu na varnosti....
According to HP Security Research’s Dustin Childs there was a fundamental Windows flaw that figured into Młyński’s Firefox hack and that Microsoft has been notified of the vulnerability.
Preden pišete se malo pozanimajte o napaki. Kriv je Microsoft in ne Firefox!
Če kdo ne razume: "Hacker Młyński je za Firefox hack letos uporabil fundamentalno Windows pomanjkljivost. Microsoft je bil obveščen o napaki."
Microsoft je torej tisti, ki mora napako popraviti, ker zaradi te napake ni ranljiv samo Firefox ampak verjetno tudi precej drugih programov.
Lonsarg ::
Kako zaboga je lahko program za branje pdf-jev tako ranljiv, pa saj to ni browser, ki mora za delovanje tujo kodo(spletno stran) izvesti, sramota za Adobe.
Izi ::
Kako zaboga je lahko program za branje pdf-jev tako ranljiv, pa saj to ni browser, ki mora za delovanje tujo kodo(spletno stran) izvesti, sramota za Adobe.
PDF ni neki tekst ampak kompleksna koda, ki kolikor mi je znano uporablja Post Script jezik in se da torej vanjo vprogramirati marsikaj. Jezik uporablja tudi "if" in "loop" ukaze.
Torej ja, PDF bralnik dejansko izvaja kodo.
Zgodovina sprememb…
- spremenil: Izi ()
Nummy ::
opeter ::
Soliden zaslužek v manj kot sekundi.
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j
koliko ::
Ja tudi drugi dan so padle vse tarče.
Lee je za exploit chroma uporabil preko 2000 vrstic kode.
Lee je za exploit chroma uporabil preko 2000 vrstic kode.
technolog ::
Čist tko me zanima, kateri dan pa pride linux na vrsto? Ali sploh ne, ker ni financ za te igre?
čuhalev ::
Za večino problemov je kriva arhitektura na kateri programi tečejo, kajti ta omogoča pogled na podatke kot ukaze.
Manu ::
Jaz sem pa mislil, da zaprto-kodne programe, ki jih plačamo, programirajo profesionalni programerji in ranljivosti ni.
Sredi spečih in nepazljivih je modrec buden in pazljiv -
po poti gre kot hiter konj, ki je prehitel šibko kljuse.
po poti gre kot hiter konj, ki je prehitel šibko kljuse.
FireSnake ::
Soliden zaslužek v manj kot sekundi.
Hmmm, saj ne morem verjeti, kake berem: se zavedaš, koliko dela je bilo opravljenega prej?
0,542 sekunde? Firefox bi lahk vsaj mal več naredu na varnosti....
To sploh ni pomembno, če je hitro "padel", ker to nič ne pove o varnosti brskalnika.
Kot so pa že zgoraj napisali, za "padec" ni bil kriv brskalnik.
pametne glavce ni kej
Tu bi se pa strinjal, morajo bit kar frajerji :)
Poglej in se nasmej: vicmaher.si
Zgodovina sprememb…
- spremenilo: FireSnake ()
Yacked2 ::
Nobenga iz Slotecha ni blo tm????
Kdo bo pa šel tja? Jype?
Na ST so ljudje, katerih znanje sega v sam vrh računalniške varnosti.
Korak naprej ni vedno ustrezen...sploh če si na robu prepada!
sisemen ::
Nobenga iz Slotecha ni blo tm????
Kdo bo pa šel tja? Jype?
Na ST so ljudje, katerih znanje sega v sam vrh računalniške varnosti.
Mhm, samo varnost je eno (sploh razni sistemski administratorji, ki znajo zadeve uporabljat, spisati jih pa ne znajo), me pa zanima koliko jih pozna development, OS in strojni jezik dovolj dobro, da lahko vzamejo IDA in se spravijo iskati luknje v kodi.
Zgodovina sprememb…
- spremenilo: sisemen ()
MrStein ::
Včasih naletiš na luknjo kar mimogrede.
--> Contestants are challenged to exploit widely used software...
Čist tko me zanima, kateri dan pa pride linux na vrsto? Ali sploh ne, ker ni financ za te igre?
--> Contestants are challenged to exploit widely used software...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
Matko ::
What's New
Fixed
36.0.4: Security fixes for issues disclosed at HP Zero Day Initiative's Pwn2Own contest
https://www.mozilla.org/en-US/firefox/3...
LightBit ::
Včasih naletiš na luknjo kar mimogrede.
Čist tko me zanima, kateri dan pa pride linux na vrsto? Ali sploh ne, ker ni financ za te igre?
--> Contestants are challenged to exploit widely used software...
http://news.netcraft.com/archives/categ...
AndrejS ::
Mariusz Mlynski je v 0,542 sekunde sesul Firefox
Meni se tako hitro niti ne zažene... LOL
Meni se tako hitro niti ne zažene... LOL
MrStein ::
Še en, ki nima pojmov razčiščenih.
google?q=explain+web+server+versus+personal+computer
PS: Sicer se to z CanSecWest zmeni, oni so določili, kaj je dovolj interesantno in kaj ni.
google?q=explain+web+server+versus+personal+computer
PS: Sicer se to z CanSecWest zmeni, oni so določili, kaj je dovolj interesantno in kaj ni.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
LightBit ::
Isotropic ::
v svetovnem merilu
link
https://slo-tech.com/forum/32
pa če ne bo uploada zavesti narejenega v nekem doglednem času, se bodo enkrat zbral skup in ga kar sami napisali.
link
https://slo-tech.com/forum/32
pa če ne bo uploada zavesti narejenega v nekem doglednem času, se bodo enkrat zbral skup in ga kar sami napisali.
MrStein ::
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Na Pwn2Own padla večina programske opremeOddelek: Novice / Varnost | 11211 (8647) | crniangeo |
» | Masaker programske opreme na letošnjem Pwn2OwnuOddelek: Novice / Varnost | 9395 (6282) | gslo |
» | Na letošnjem Pwn2Own največkrat zlomljen FirefoxOddelek: Novice / Varnost | 8978 (6573) | kronik |
» | Prvi dan Pwn2Own 2013 zlomljeni Chrome, Firefox, IE10 in JavaOddelek: Novice / Varnost | 7878 (5785) | MrStein |
» | Letošnji Pwn2Own z višjimi nagradami in povratkom GooglaOddelek: Novice / Varnost | 4897 (3379) | MisterR |