»

Masaker programske opreme na letošnjem Pwn2Ownu

Slo-Tech - Na letošnjem hekerskem tekmovanju Pwn2Own, ki se je odvijalo minula dva dni v Vancouvru, so razdelili 460.000 dolarjev nagrad tekmovalcem, ki so odkrili 21 novih ranljivosti v operacijskih sistemih Windows in OS X, v brskalnikih Safari, Edge in Chrome ter v Flashu. Firefox letos sploh ni bil na seznamu, ker se ocenili, da ima toliko lukenj, da njegovo lomljenje sploh ne bi bilo zanimivo.

Potem ko je bil Pwn2Own nekaj časa pod vprašajem, saj je prireditelja Tipping Point od Hewlett-Packarda odkupil Trend Micro, so tekmovanje ohranili in nekoliko modernizirali. Poleg klasičnih tarč in nagrad so uvedli tudi rubriko Master of Pwn, ki je služila kot nekakšen skupni seštevek za vse, ki so tekmovali v več kategorijah.

Na mizi je bilo 65.000 dolarjev za vdor v Chrome, prav toliko za...

35 komentarjev

Na letošnjem Pwn2Own največkrat zlomljen Firefox

Slo-Tech - Prejšnji teden je v Vancouvru potekala konferenca CanSecWest, v okviru katere vsako leto teče tekmovanje v vdiranju Pwn2Own. Razdelili so 850.000 dolarjev nagrad za 12 uspešnih napadov na komercialno programsko opremo. Največkrat je padel Firefox.

Prvi dan tekmovanja je pet ekip demonstriralo pet uspešnih napadov. Jüri Aedla je uspešno napadel Firefox (izvajanje kode zaradi pisanja in branja izven mej, out-of-bound read/write), Mariusz Mlynski je zoper Firefox izkoristil kar dve ranljivosti, in sicer eno za eskalacijo privilegijev in drugo za obvoz vgrajenih varnostnih mehanizmov. Francoska ekipa VUPEN, ki je tradicionalno med najmočnejšimi, je pokazala kar štiri ranljivosti. Zlomili so Adobe Flash, Adobe Reader, Microsoft Internet...

20 komentarjev

Internet Explorer 9 padel v Pwn2Own

ZDNet - Naslednji brskalnik, ki je padel na letošnjem hekerskem tekmovanju Pwn2Own v kanadskem Vancouvru, je Internet Explorer. Po tem ko je francoska skupina VUPEN takoj po začetku tekmovanja razsula Googlov Chrome (Chrome sicer letos tehnično ni del uradnega Pwn2Own, a to ni pomembno), so sedaj uspešno kompromitirali še računalnik s sveže nameščenim Windows 7 SP1 in Internet Explorerjem 9 z vsemi popravki.

Chaouki Bekrar iz VUPEN-a pojasnjuje, da so uporabili zelo staro ranljivost, povezano s prekoračitvijo kopice (heap overflow), s čimer so obšli DEP in ASLR, in nepovezano ranljivost v upravljanju s pomnilniškim prostorom. Luknja se je prvikrat pojavila že v Internet Explorerju 6 in do danes ni bila javno razkrita, tako da...

49 komentarjev

Chrome že padel v Pwn2Own

VUPENov soustanovitelj in vodja razvoja Chaouki Bekrar.

Slo-Tech - Letošnje tekmovanje v iskanju varnostnih pomanjkljivosti se je šele začelo, vendar že vemo, da Google Chrome tokrat ne bo uspel ohraniti lanske titule kot edini nedotaknjeni brskalnik. Francoska skupina VUPEN je namreč le pet minut po začetku prijavila exploit, ki z izkoriščenjem dveh napak uspešno prebije Chromov sandbox. Google je pristnost eksploita že potrdil, tako da jih čaka vsaj 60 tisoč dolarjev, prenosnik Google Chromebook in morda še del skupnega nagradnega sklada 1 milijona dolarjev.

VUPEN in Google imata že nekaj zgodovine. Gre za francosko varnostno podjetje, ki testira varnost priljubljenih programskih paketov in potem svojim naročnikom za lepe vsote prodaja rezultate...

11 komentarjev

Na Pwn2Own 2011 v prvih urah padla Safari in IE

Chaouki Bekrar, VUPEN

vir: ZDNet
ZDNet - Včeraj se je v Vancouvru začelo letošnje tekmovanje Pwn2Own, kjer tekmovalci iščejo varnostne luknje v brskalnikih in mobilnih telefonov, v zameno za uspešne napade pa prvouvrščeni dobijo lepe nagrade. Tekmovanje se je začelo po našem času danes ob 0.30 uri. Safari in Internet Explorer sta že padla.

Ekipa francoskega podjetja Vupen je kljub popravku 5.0.4 za Safari, ki je izšel le nekaj ur pred prireditvijo,

39 komentarjev

Na letošnjem Pwn2Ownu rekordna nagrada za uspešen napad na Chrome

ComputerWorld - Vsakoletni hekerski dogodek, kjer hekerji in raziskovalci demonstrirajo svoje poznavanje brskalnikov in mobilnih telefonov ter varnostnih lukenj v njih, se bo letos v Vancouvru začel 9. marca. Za nekoliko več vznemirjenja kot ponavadi je poskrbel Google, ki je razpisal doslej najvišjo nagrado 20.000 dolarjev za kogarkoli, ki bi našel in uspešno zlorabil kakšno ranljivost v njihovem brskalniku Chrome.

Na letošnjem Pwn2Ownu bosta okolje 64-bitna operacijska sistema Windows 7 in Mac OS X, na katerih bodo tekli Internet Explorer, Firefox, Safari in Chrome. Prvi, ki bodo zlomili prve tri brskalnike, bodo prejeli 15.000 dolarjev, kar je 50 odstotkov več kot lani, medtem ko so za Chrome nekoliko drugačna pravila.

Ker Chrome...

5 komentarjev

Adobe in Microsoft na konferenci Black Hat

CNet - Microsoft in Adobe sta na varnostni konferenci Black Hat, ki te dni teče v Las Vegasu, objavila, da bo Apple sprejel Microsoftov model informiranja o varnostnih ranljivostih v svoji programski opremi proizvajalcev programske zaščite pred izidom popravkov. Microsoft je program MAPP (Microsoft Active Protections Program) uvedel leta 2008 in od takrat proizvajalcem poroča o varnostnih luknjah pred uradno izdajo popravka, tako da lahko ti pripravijo ustrezno zaščito že prej. Microsoft ocenjuje, da so s tem zmanjšali okno ranljivosti do 75 odstotkov.

Adobe se je zato odločil, da bo ranljivosti v svojih programih istim proizvajalcem razkrival na enak način. Uporabljali bodo enak format, enak...

3 komentarji

Pwn2Own končan, preživel Chrome

Slo-Tech - V Vancouvru se je končalo vsakoletno tekmovanje Pwn2Own, kjer hekerji poskušajo in običajno uspejo na kolena spraviti brskalnike in mobilne telefone. Tudi letos so pred tekmovanjem naredili domačo nalogo, tako da so v minutah obvladali zadane naloge. Poglejmo si izkupiček.

Internet Explorer 8 je navkljub varnostnim tehnologijam ASLR in DEP na Windows 7 strl Peter Vreugdenhil (PDF). Na isti platformi je Firefox premagal heker, ki se predstavlja le z vzdevkom Nils in ki je blestel že lani. Macov Safari je Mac OS X snedel Charlie Miller. Dobili so vsak po 10.000 dolarjev in bodisi MacBooka bodisi PC bodisi Sony Vaio.

Na področju mobilnih telefonov je padel iPhone, ki sta ga v vsega 20 sekundah ukanila Ralf Philipp...

24 komentarjev

Hekersko tekmovanje Pwn2Own se začenja

ComputerWorld - Včeraj se je v Vancouvru začelo vsakoletno tekmovanje Pwn2Own, ki ga organizira TippingPoint Zero Day Initiative (ZDI) in kjer se merijo hekerji pri razbijanju različnih aplikacij in platform. Pravila so enostavna - kdor dobi dostop do sistema, dobi še lepo denarno nagrado; skupni fond je vreden 100.000 dolarjev. Tekmovanje traja do petka.

Včeraj so bili na tapeti Internet Explorer 8, Firefox 3 in Chrome 4 na Windows 7 ter Safari 4 na MacOS Snow Leopardu, medtem ko danes napadajo brskalnike IE7, Firefox 3 in Chrome 4 na Visti ter Safari 4 na Snow Leopardu, jutri pa jih bodo še na Windows XP (oz. Safari na Snow Leopardu). Vsak ranjeni brskalnik zmagovalcu prinese 10 tisoč dolarjev.

Poleg brskalnikov na vdor čaka še kopica mobilnih...

36 komentarjev

Varnost v Visti: igra končana?

Neowin - Raziskovalca Mark Dowd iz IBM-a in Alexander Sotirov in podjetja VMware sta na letošnji konferenci BlackHat v Washingtonu predstavila predavanje z naslovom How To Impress Girls With Browser Memory Protection Bypasses.

V predavanju sta predstavila povsem nov način onesposobljenja vseh mehanizmov za zaščito pomnilnika RAM, ki jih uporablja Vista. Pokazala sta kako je mogoče zaobiti Vistin Address Space Layout Randomization, Data Execution Prevention ter ostale mehanizme s katerimi se Vista skuša zaščititi pred zlonamerno kodo, ki se skuša naložiti preko spletnega brskalnika.

V predstavitvi sta tako pokazala kako je mogoče z različnimi jeziki (Java, ActiveX, .NET) preko okužene spletne strani naložiti kakršnokoli vsebino na katerokoli lokacijo v pomnilniku RAM.

Po mnenju nekaterih uglednih varnostnih raziskovalcev, npr. Dina Dai Zovija, pa pri tem ne gre samo za še eno varnostno ranljivost, pač pa sta raziskovalca predstavila kako zaobiti temeljne varnostne mehanizme Viste, hkrati...

50 komentarjev