» »

Na Pwn2Own 2011 v prvih urah padla Safari in IE

Na Pwn2Own 2011 v prvih urah padla Safari in IE

Chaouki Bekrar, VUPEN

vir: ZDNet
ZDNet - Včeraj se je v Vancouvru začelo letošnje tekmovanje Pwn2Own, kjer tekmovalci iščejo varnostne luknje v brskalnikih in mobilnih telefonov, v zameno za uspešne napade pa prvouvrščeni dobijo lepe nagrade. Tekmovanje se je začelo po našem času danes ob 0.30 uri. Safari in Internet Explorer sta že padla.

Ekipa francoskega podjetja Vupen je kljub popravku 5.0.4 za Safari, ki je izšel le nekaj ur pred prireditvijo, uspela zlomiti brskalnik na 64-bitnem Mac OS X. Francozi so prejeli 15.000 dolarjev in novega MacBooka Air. Microsoftov Internet Explorer 8 je prav tako hitro padel, saj ga je na 64-bitnih Windows 7 SP1 zlomil Stephen Fewer, ustanovitelj podjetja Harmony Security. Obšel je peskovnik DEP (Data Execution Prevention) in ASLR (Address Space Layout Randomization) in z zlorabo treh ranljivosti zagnal aplikacijo Računalo na oddaljenem računalniku ter ustvaril datoteko na njem. Prejel bo 15.000 dolarjev in nov prenosnik z Windows. Microsoft brskalnika ni posodabljal v zadnjih dneh pred tekmovanjem

39 komentarjev

dronyx ::

Lepo, da tekmovalci dobijo nagrade, bi bilo pa še lepše, če bi hkrati še proizvajalce take hroščate programske opreme kaznovali z nekaj milijoni USD za vsak tak bug.

knesz ::

dronyx je izjavil:

Lepo, da tekmovalci dobijo nagrade, bi bilo pa še lepše, če bi hkrati še proizvajalce take hroščate programske opreme kaznovali z nekaj milijoni USD za vsak tak bug.

Se vidi, da v življenju nisi spisal nobenega programa :)

CyberDuck ::

Hello world

Good Guy ::

Chrome bo pa tko kot do sedaj ostal nezlomljiv :)

ABX ::

Good Guy je izjavil:

Chrome bo pa tko kot do sedaj ostal nezlomljiv :)


Chrome je letos prvič.

Če prav razumem Firefox in Chrome sta še vedno v igri?
Vaša inštalacija je uspešno spodletela!

Good Guy ::

aja.. no pomoje jim ga ne bo ratal "podret"

HardFu ::

In zakaj ne? Vse se da podret, samo dovolj casa in vztrajnosti potrebujes
http://codeable.io

Blisk ::

ali denarja :)

dux ::

Časa imajo 3 dni.
Glede na to, da večina ljudi pride tja že s pripravljenimi exploiti in jih tam samo uporabijo (IE in Safari sta padla po nekaj minutah) in da v 10 urah še niso uspeli sesut Chrome in Firefox imata IMO kar dobre možnosti.
Upanje je v nasih odlocitvah

Machiavelli ::

Chrome je samo hiter in to je to,varnost in stabilnost je pa zelo boga.....
Nigaaazz

Good Guy ::

Machiavelli je izjavil:

Chrome je samo hiter in to je to,varnost in stabilnost je pa zelo boga.....


vir?

Sebas ::

Kaj pa opera je še v igri?

Machiavelli ::

Tak bom reku,vsak brskalnik se da prebit slej ko prej.

Samo to tekmovanje ni čist fer,kajti tekmovalcem dajo neke meje z čim lahko in z čim ne...

V real life svetu bi vsak brskalnik padel v zelooo kratkem roku..
Nigaaazz

c00L3r ::

Kakšne so zastavljene omejitve?

denial ::

Pravila za Chrome so jasna:
As for Chrome, the contest will be a two-part one. On day 1, Google will offer $20,000 USD and the CR-48 if a contestant can pop the browser and escape the sandbox using vulnerabilities purely present in Google-written code. If competitors are unsuccessful, on day 2 and 3 the ZDI will offer $10,000 USD for a sandbox escape in non-Google code and Google will offer $10,000 USD for the Chrome bug. Either way, plugins other than the built-in PDF support are out of scope.

Za FF ni nikjer eksplicitno navedeno vendar sklepam, da najbrž velja nekaj podobnega. Za FF pwnage sta sicer prijavljena dva tekmovalca, torej sta možna dva scenarija: a) both have failed b) nista še prispela na prizorišče.
SELECT finger FROM hand WHERE id=3;

globoko grlo ::

Kaj dejansko pomeni da "zlomiš" brskalnik?

Da preko browserja nadzoruješ en remote comp?

WhiteAngel ::

globoko grlo je izjavil:

Kaj dejansko pomeni da "zlomiš" brskalnik?

Da preko browserja nadzoruješ en remote comp?


Da lahko na oddaljenem računalniku zaženeš poljubno aplikacijo. To ti omogoči vse.

ABX ::

Sebas je izjavil:

Kaj pa opera je v igri?


There, fixed.

Ne, ni.

globoko grlo je izjavil:

Kaj dejansko pomeni da "zlomiš" brskalnik?

Da preko browserja nadzoruješ en remote comp?


Da preko browserja zaženeš poljuben program z (admin / user) pravicami.

Glede pluginov, logično da jih niso vključili, ker varnost le teh ni v roki razvijalca browserja.
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

dronyx ::

knesz je izjavil:

Se vidi, da v življenju nisi spisal nobenega programa :)

Govoriš na pamet, ali imaš kakšen vir. Sem šel na hitro pogledat in trenutno moje programe uporablja nekaj 100 ljudi, tako da se malo spoznam na te reči oziroma ravno toliko, da se mi nekako sanja, kje se pojavljajo težave.

Če ima programska oprema kot je brskalnik takšno varnostno luknjo, da lahko nekdo prek tega na tvojem računalniku naredi karkoli, je to zame nedopustna šlamparija, ki bi jo moral interni sistem kakovosti odkrit še preden gre izdelek na trg. Tak bug je zame nekaj podobnega, kot če bi v avtomobilih naključno odpovedoval zavorni sistem. Proizvajalci avtomobilov vpokličejo nazaj vse, tisti ki pa so doživeli nesrečo, pa za velike denarje vlagajo odškodninske tožbe.

Zgodovina sprememb…

  • spremenil: dronyx ()

Zmajc ::

dronyx je izjavil:

knesz je izjavil:

Se vidi, da v življenju nisi spisal nobenega programa :)

Govoriš na pamet, ali imaš kakšen vir. Sem šel na hitro pogledat in trenutno moje programe uporablja nekaj 100 ljudi, tako da se malo spoznam na te reči oziroma ravno toliko, da se mi nekako sanja, kje se pojavljajo težave.

Če ima programska oprema kot je brskalnik takšno varnostno luknjo, da lahko nekdo prek tega na tvojem računalniku naredi karkoli, je to zame nedopustna šlamparija, ki bi jo moral interni sistem kakovosti odkrit še preden gre izdelek na trg. Tak bug je zame nekaj podobnega, kot če bi v avtomobilih naključno odpovedoval zavorni sistem. Proizvajalci avtomobilov vpokličejo nazaj vse, tisti ki pa so doživeli nesrečo, pa za velike denarje vlagajo odškodninske tožbe.


Po tej logiki nobeni winsi NIKOLI nebi smeli prit v prodajo. ;)

dronyx ::

Zmajc je izjavil:

Po tej logiki nobeni winsi NIKOLI nebi smeli prit v prodajo. ;)

To ne vem, je pa zame nedopustno, da se lahko proizvajalci z drobnim tiskom odvežejo kakršnekoli odgovornosti. Če imam jaz zaradi neodkrite luknje v sistemu za 100.000 € škode pričakujem, da lahko s tožbo dosežem ali poravnavo, ali odškodnino.

Machiavelli ::

Vsak sistem ima luknjo,za vsak antivirus mora biti virus in kontra,zgodovina se pa ponavlja.
Nigaaazz

Good Guy ::

@onyx

povej kter program da se lotimo le tega.. pa da teb mal kazni nabijemo zarad šlamparij..

AndrejS ::

.. moje programe uporablja nekaj 100 ljudi ..

Daj ti ta program, da ti ga sesujemo in iztožimo...

Machiavelli ::

Opa imamo celo neke "programerje"....
Program za zdravo prehranjevalno dieto?

Težko je biti konkurenčen v današnjih časih,ko ti par azijskih kamikaz pokradejo najboljše šifre in prepakirajo in ponudijo za smešen znesek.
Nigaaazz

commissar ::

dronyx je izjavil:

knesz je izjavil:

Se vidi, da v življenju nisi spisal nobenega programa :)

Govoriš na pamet, ali imaš kakšen vir. Sem šel na hitro pogledat in trenutno moje programe uporablja nekaj 100 ljudi, tako da se malo spoznam na te reči oziroma ravno toliko, da se mi nekako sanja, kje se pojavljajo težave.

Če ima programska oprema kot je brskalnik takšno varnostno luknjo, da lahko nekdo prek tega na tvojem računalniku naredi karkoli, je to zame nedopustna šlamparija, ki bi jo moral interni sistem kakovosti odkrit še preden gre izdelek na trg. Tak bug je zame nekaj podobnega, kot če bi v avtomobilih naključno odpovedoval zavorni sistem. Proizvajalci avtomobilov vpokličejo nazaj vse, tisti ki pa so doživeli nesrečo, pa za velike denarje vlagajo odškodninske tožbe.


Srčno upam, da med "svoje" "programe" ne šteješ svojega wordpress bloga, kjer si verjetno samo zamenjal css in naslovno sliko.

ivanuscha ::

Onyx, lahko kar greš na banko po kredit :))

subby ::

chrome je vzdržal, dva prijavljena sta že obupala
najboljši pa pridejo na vrsto zadnji, firefoxa se lotijo jutri

dronyx ::

ivanuscha je izjavil:

Onyx, lahko kar greš na banko po kredit :))

Ne, so me tako preplašli, da sem kar kill switch uporabil. Zdaj pa iščem na hitro še azil.

Spura ::

Tudi moje aplikacije uporablja vec sto ljudi herpa derpa derp derp. Pri tem bom seveda prikladno izpustil da imam relativno zaprt sistem z malo zunanjega inputa, uporabnike, ki nimajo zlih namenov, delam predvsem s tekstovnimi podatki (ne pa tako kot browserji, ki morajo izvajat tujo kodo) in si pri varnosti pomagam z dragimi paketi velikih proizvajalcev. Ja, edino prav da mozilla izplaca po par miljonov za vsako luknjo v zastonjskem browserju hurr durr.

System ::

Chrome nebo padel. 8-)

ABX ::

System je izjavil:

Chrome nebo padel. 8-)


Chrome bi padel če ne bi hacker prodal exploit par dni prej Googlu za $1.337
http://it.slashdot.org/story/11/03/09/0...

Ampak ne glede na to, Chrome je prvi browser ki ni padel na pwn2own takoj v prvem dnevu (ponavadi v minutah). Vsaka jim čast. IE v primerjavi je patetičen.

Windows / Firefox je šele jutri.
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

denial ::

Firefox je na sporedu danes. OK, jutri po CET.

Časovni interval je irelevanten. Folk se pač vsede in pwna. A matter of seconds/minutes. Dirty job je bil opravljen v zakulisju in je trajal nekaj tednov.

Ker so že prvi tekmovalci pwnali omenjena browserja ni težko narediti kalkulacijo in priti do zaključka, da bodo ostali prihranili svoje 0-day exploite za naslednje leto :D
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

mjk ::

ABX je izjavil:

System je izjavil:

Chrome nebo padel. 8-)


Chrome bi padel če ne bi hacker prodal exploit par dni prej Googlu za $1.337
http://it.slashdot.org/story/11/03/09/0...



Spet prehitr prebral ... ANDROID != CHROME

Chrome je lansko leto ŽE nastopil in ga ni noben zdru ... so pa bili VSI naenkrat testirani.
Letos to gre po vrsti ... najprej safari, potem ie, potem chrome ,jutri pa bo čas za FF in mobilne OS (android, ios, .. )

torej to da un ko se je prijavil na chrome je po mojem prodal stvar googlu (ampak ne v povezavi z zgornjim linkom ... ta se navezuje na jutr, ko so na vrsti mobilni os)
to da sta ie in safari padla je bilo za pričakovat ... tako kot FF 100% ni mogel vsega zakrpati.
bolj mi je čudno, da se noben ni lotil chroma ... ok, to da so enga plačal verjetno plačal, da ni nastopu, ampak kaj je pa z ostalim pwnd cominitijem !? -- sem se res veselil ko so napovedal napad na chrome ... da se vidi, da se je vsaj nekdo potrudil in raziskal kaj vse mu lahko šibneš in uideš njegomu sandboxu.

P.s.: Letos opere ni, ker ima premali tržni delež :)
P.s.: napoved .. vse mobilne naprave bodo padle v prej kot 30min

Looooooka ::

S tozbo bi ti dobil poravnavo.Good one.Ce si kot programer pripravljen podpisan pogodbo kjer zagotavljas program brez moznosti napake...pol sploh nocem vidt programa, ker lazes ze sebi.Najvec kar lahko naredis je zagotovilo popravkov.Ce si fer so kriticni vsi zastonj...nekriticne napake na katerih je treba "delati" da do njih pride in niso del glavnega opravila naloge za katero je bil spisal se pac resi do dolocenega roka...kasneje naj pac placajo podaljsajo pogodbo.
Isto dela Microsoft.Uporabniki smo pac prisiljeni sprejeti EULO, kjer kriticno napako definirajo oni in ne mi...

MrStein ::

DEP že ni peskovnik. Ozirom a je to precej 'large stretch'.

Luknja je v WebKit, na kateri bazira tudi Chrome, a ne?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

denial ::

GOOG patched WebKit bug in 24h: KLIK
IE8 patch is already in the pipe >:D

Zanimivo, da sta letos ostala "neporažena" oba brskalnika, ki prakticirata bug bounty.

Right, DEP != sandbox. V IE je sandbox "Protected Mode/IL". Tip je potreboval tri buge za: 1x DEP bypass + 1x ASLR bypass + 1x Sandbox bypass.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

boolie ::

Zelo priročno pa pride končna različica Internet Explorer 9 ven 14. marca ob 9pm po Pacifiškem času (se pravi, 6 zjutraj v torek po našem času).
Bo treba 1 leto počakat na bolj realne hitre padce. ;)

ABX ::

Zgleda da je Firefox je preživel.
Vaša inštalacija je uspešno spodletela!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Prvi dan Pwn2Own padle vse tarče

Oddelek: Novice / Varnost
3413008 (9817) MrStein
»

Letošnji Pwn2Own z višjimi nagradami in povratkom Googla

Oddelek: Novice / Varnost
104613 (3095) RockyS
»

Na letošnjem Pwn2Ownu rekordna nagrada za uspešen napad na Chrome

Oddelek: Novice / Ostalo
57272 (6611) TechStreme
»

Pwn2Own končan, preživel Chrome

Oddelek: Novice / Apple iPhone/iPad/iPod
248000 (6458) denial
»

Hekersko tekmovanje Pwn2Own se začenja

Oddelek: Novice / Varnost
369321 (7396) noraguta

Več podobnih tem