Slo-Tech - Končala se je letošnja izvedba vsakoletnega hekerskega tekmovanja Pwn2Own, na kateri prijavljene skupine in posamezniki poizkušajo demonstrirati izrabo ranljivosti v programski opremi, ki je na razpolago. Pwn2Own vsako leto poteka v Vancouvru, letos pa je zaradi pandemija koronavirusa postal virtualno tekmovanje. Ni pa se spremenil razplet, saj se je ponovno izkazalo, da je večina priljubljene programske opreme ranljiva. Razen enega poizkusa so uspeli vsi ostali.

Skupili so jo Applov Safari na MacOS, operacijski sistem Windows, Ubuntu Desktop, Oraclov VirtualBox in Adobe Reader na Windows. Uspešni tekmovalci so prejeli tudi nagrade, in sicer prvi dan 180.000 dolarjev in drugi dan še polovico toliko.

Tekmovanje je potekalo po ustaljenih pravilih. Razpisana je bila programska oprema, ki so jo ponudili proizvajalci in zagotovili tudi nagrade. Tekmovalci so se prijavili konkretno za posamezen izdelek in ga potem na tekmovanju morali tudi resnično napasti. Katero ranljivost so izrabili, so smeli razkriti le proizvajalcem, ki imajo sedaj 90 dni časa za pripravo popravkov, šele nato bo luknje javno znane.

Slo-Tech - Neuradno je na internet pobegnil že minuli mesec, sedaj pa ga lahko snamemo tudi po pravilih. Microsoft je danes izdal prve delujoče beta verzije novega chromiumskega brskalnika Edge, ki v nobenem pogledu ne skriva svoje provenience. Celo kanala imata enaki imeni: Canary (predogledne verzije, ki se posodabljajo dnevno) in Developer (tedensko posodabljanje). Oba je moč sneti z uradne strani. Kmalu bo prispela tudi verzija na kanalu beta, ki se bo posodabljala vsakih šest tednov. Novi Edge je za zdaj na voljo za Windows 10, bo pa prispel tudi na druge platforme, vključno z 32-bitnimi.

Na pogled je novi brskalnik križanec med starim Edgeom in Chromom, kar je bila namerna odločitev. Privzeti brskalnik je Bing, podpira pa tudi vpis s podatki za...

Slo-Tech - Že več let se pripravljamo na smrt starih vtičnikov NPAPI, kamor seveda sodi tudi Flash. Čeprav ima Flash nekoliko posebno obravnavo in pogosto predstavlja izjemo, ki jo brskalniki vendarle dovoljujejo, se bliža tudi njegov konec. Ni pa takšnega mnenja Microsoft, ki je v svoj novi brskalnik Edge vgradil poseben seznam strani (whitelist), ki jim v nasprotju z uporabnikovimi nastavitvami dovoljuje poganjati Flash. Med njimi je tudi Facebook.

Že od leta 2017 je Flash v Edgeu privzeto izklopljen, uporabnik pa mora poganjanje izrecno potrditi za vsako stran posebej. Toda, do februarja letos je seznam izvzetih strani vseboval 58 vnosov (domen in poddomen), med katerimi so bili na primer Microsoftova stran, Yahoo, Deezer in Facebook, pa tudi španski frizer...

Slo-Tech - Na letošnji izvedbi tekmovanja Pwn2Own, ki vsako leto poteka ob robu konference CanSecWest v Vancouvru, bodo prvikrat hekali tudi avtomobile. Na tekmovanju z 12-letno tradicijo so se doslej v glavnem osredotočali na operacijske sisteme, brskalnike, pametne telefone in podobno, letos pa bodo prvikrat tarče tudi pametni avtomobili. Tesla Model 3 bo tarča, ki ponuja 250.000 dolarjev nagrade za tistega, ki bo uspel na njegovem vozlišču (gateway), avtopilotu ali VCSEC (Vehicle Control Security) izvesti nepooblaščeno kodo. Na osrednje vozlišče se povezujejo vsi bistveni deli vozila, denimo prenos, šasija in podobno. Avtopilot je v resnici asistenčni sistem, VCSEC pa povezuje varnostne sisteme. Za celotno Teslo znaša nagradni...

Trend Micro - V Vancouvru se je končalo vsakoletno hekersko tekmovanje Pwn2Own, na katerem so največji svetovni strokovnjaki tri dni iskali ranljivosti v moderni programski opremi: od navideznih strojev do brskalnikov in poslovnih okolij. Letošnji nagradi sklad je bil rekorden, podobno pa so bili rekordni tudi rezultati tekmovalcev.

Že prvi dan so organizatorji razdelili 233.000 dolarjev za pet uspešnih vdorov in enega deloma uspešnega. Ekipa 360 Security je uporabila prekoračitev kopice v jpeg2000, da je v Windows prek Adobe Readerja izvedla oddaljeno kodo. Samuel Groß in Niklas Baumstark sta na macu v Safariju uspela izkoristiti nekaj hroščev in dobiti višje privilegije v macOS. Deloma je bila luknja že zakrpana, a sta vseeno uspelo na touch bar zapisati sporočilo. Ekipa...

Slo-Tech - Ko po internetu brskamo z mobilnih naprav, kjer je avtonomija omejena, namesto hitrosti najpomembnejši dejavnik postane varčnost z energijo. Vode je razburkal Microsoft s testom, ki je pokazal, da je prav njihov brskalnik Edge najvarčnejši. Ko je svoj test izvedla Opera, je bila najvarčnejša seveda Opera.

Microsoft je na svojem testu primerjal lasten Edge ter Chrome, Opero v varčnem načinu in Firefox. V laboratorijskih pogojih na Surface Booku je Edge porabil 2,1 W energije, Chrome 2,8 W, Opera 3,1 W in Firefox 3,2 W. Pomenljiva so razmerja, ne absolutne vrednosti. Potem so primerjali še porabo pri realni uporabi, kjer je bil Edge za malenkost boljši od Firefoxa, medtem ko je Chrome porabil največ energije. Te podatke so dobili iz...

Slo-Tech - Zdi se, da Flasha v resnici nihče ne mara (celo Adobe), a nihče se od njega ne želi tudi popolnoma posloviti (častna izjema je seveda Applov iOS), pa čeprav imamo na voljo boljše alternative (HTML5, RTC, Web Audio ...). Microsoftova obravnava Flasha v novem brskalniku Edge sledi ambivalentnim smernicam. V novi verziji, ki pride z Windows 10 Anniversary Update, bo Edge avtomatično ustavil predvajanje flasha, ki ne bo imel središčne vloge strani. Nemoteno pa bo deloval flash, kadar bo to bistvo strani, recimo pri spletnih igrah.

To z drugimi besedami pomeni, da se razne reklamne pasice in podobno ne bodo več avtomatično predvajali, temveč bo moral uporabnik nanje klikniti. S tem nameravajo izboljšati odzivnost, zmanjšati...

Slo-Tech - Na letošnjem hekerskem tekmovanju Pwn2Own, ki se je odvijalo minula dva dni v Vancouvru, so razdelili 460.000 dolarjev nagrad tekmovalcem, ki so odkrili 21 novih ranljivosti v operacijskih sistemih Windows in OS X, v brskalnikih Safari, Edge in Chrome ter v Flashu. Firefox letos sploh ni bil na seznamu, ker se ocenili, da ima toliko lukenj, da njegovo lomljenje sploh ne bi bilo zanimivo.

Potem ko je bil Pwn2Own nekaj časa pod vprašajem, saj je prireditelja Tipping Point od Hewlett-Packarda odkupil Trend Micro, so tekmovanje ohranili in nekoliko modernizirali. Poleg klasičnih tarč in nagrad so uvedli tudi rubriko Master of Pwn, ki je služila kot nekakšen skupni seštevek za vse, ki so tekmovali v več kategorijah.

Na mizi je bilo 65.000 dolarjev za vdor v Chrome, prav toliko za...

Slo-Tech - Drugi dan tekmovanja v vdiranju v prenosne telefone Mobile Pwn2Own, ki je potekalo v japonskem Tokiu, sta bila na tnalu telefona z Windows Phone in Androidom. Izkušena tekmovalca sta bila to pot manj uspešna, kot je bila konkurenca prvi dan. Tedaj so padli vsi telefoni, sedaj pa je bil vdor le delen.

Nico Joly, ki ga poznamo kot člana varnostne skupine VUPEN iz Francije, katera vsako leto tekmuje na tekmovanjih Pwn2Own, se je lotil Nokiine Lumie 1520, ki jo poganja Windows Phone. Vsi uspešni napadalci so poleg naprave, ki so jo uspeli nadvladati, domov odnesli še od 50.000-75.000 dolarjev; najvišjih nagrad za vdor prek sporočil ali...

Slo-Tech - Prejšnji teden je v Vancouvru potekala konferenca CanSecWest, v okviru katere vsako leto teče tekmovanje v vdiranju Pwn2Own. Razdelili so 850.000 dolarjev nagrad za 12 uspešnih napadov na komercialno programsko opremo. Največkrat je padel Firefox.

Prvi dan tekmovanja je pet ekip demonstriralo pet uspešnih napadov. Jüri Aedla je uspešno napadel Firefox (izvajanje kode zaradi pisanja in branja izven mej, out-of-bound read/write), Mariusz Mlynski je zoper Firefox izkoristil kar dve ranljivosti, in sicer eno za eskalacijo privilegijev in drugo za obvoz vgrajenih varnostnih mehanizmov. Francoska ekipa VUPEN, ki je tradicionalno med najmočnejšimi, je pokazala kar štiri ranljivosti. Zlomili so Adobe Flash, Adobe Reader, Microsoft Internet...

ComputerWorld - Vsakoletno tekmovanje hekerjev Pwn2Own, kjer se v Vancouvru zberejo najboljši iskalci ranljivosti ter napadajo priljubljene brskalnike in operacijske sisteme, bo letos nagradni sklad dvignilo za petkrat, so sporočili prireditelji. Pwn2Own bo letos potekal od 6. do 8. marca na konferenci CanSecWest v Vancouvru pod pokroviteljstvom HP TippingPointa. Nagradni sklad se je dvignil na 560.000 dolarjev.

Glavna nagrada v višini 100.000 gre tistemu, ki bo prvi kompromitiral Chrome na Windows 7 ali Internet Explorer 10 na Windows 8. Uspešen napad na IE9 bo vreden 75.000 dolarjev, Flash in Adobe Reader vsak po 70.000 dolarjev, Safari 65.000 dolarjev, Firefox 60.000 dolarjev in Java 20.000...

ZDNet - Včeraj se je v Vancouvru začelo letošnje tekmovanje Pwn2Own, kjer tekmovalci iščejo varnostne luknje v brskalnikih in mobilnih telefonov, v zameno za uspešne napade pa prvouvrščeni dobijo lepe nagrade. Tekmovanje se je začelo po našem času danes ob 0.30 uri. Safari in Internet Explorer sta že padla.

Ekipa francoskega podjetja Vupen je kljub popravku 5.0.4 za Safari, ki je izšel le nekaj ur pred prireditvijo,

ComputerWorld - Vsakoletni hekerski dogodek, kjer hekerji in raziskovalci demonstrirajo svoje poznavanje brskalnikov in mobilnih telefonov ter varnostnih lukenj v njih, se bo letos v Vancouvru začel 9. marca. Za nekoliko več vznemirjenja kot ponavadi je poskrbel Google, ki je razpisal doslej najvišjo nagrado 20.000 dolarjev za kogarkoli, ki bi našel in uspešno zlorabil kakšno ranljivost v njihovem brskalniku Chrome.

Na letošnjem Pwn2Ownu bosta okolje 64-bitna operacijska sistema Windows 7 in Mac OS X, na katerih bodo tekli Internet Explorer, Firefox, Safari in Chrome. Prvi, ki bodo zlomili prve tri brskalnike, bodo prejeli 15.000 dolarjev, kar je 50 odstotkov več kot lani, medtem ko so za Chrome nekoliko drugačna pravila.

Ker Chrome...