» »

Prvi dan Pwn2Own 2013 zlomljeni Chrome, Firefox, IE10 in Java

Prvi dan Pwn2Own 2013 zlomljeni Chrome, Firefox, IE10 in Java

ComputerWorld - V Vancouvru poteka že sedmi Pwn2Own, kakor se imenuje vsakoletno tekmovanje v iskanju ranljivosti in njihovi uporabi za vdor v priljubljene operacijske sisteme, brskalnike in mobilne naprave. Letos se ponovno vrača Google, ki je lani sponzorstvo odpovedal, ker spremenjena pravila niso zahtevala razkritja uporabljenih ranljivosti proizvajalcu. Letos je spet vse po starem, saj morajo tekmovalci razkriti vse detajle o ranljivosti, da si prislužijo nagrado (tehnično gledano jim ZDI ranljivost odkupi). Nagradni sklad ni skromen in znaša dobrega pol milijona dolarjev.

Prvi dan tekmovanja so že padle največje zvezde. Francosko podjetje VUPEN, ki je vodilno v iskanju in žal tudi trgovanju z ranljivostmi, je z dvema zero-day ranljivostma zlomilo Internet Explorer 10 na tablici Surface Pro in obšlo peskovnik, tako da so pridobili neposreden dostop do Windows 8. Zlomili so tudi Firefox 19 na platformi Windows 7. Za oboje skupaj so si prislužili 160.000 dolarjev, kar je v svetu, kjer deluje VUPEN, drobiž. Kasneje je ekipa MWR Labs iz Velike Britanije zlomila Chrome 25 in uspešno obšla peskovnik. To je malo problematično, ker je Google le nekaj dni pred tekmovanjem izdal obsežen sveženj popravkov, ki so zakrpali kopico lukenj. Vemo namreč, da tekmovalci svoje napade skujejo že mnogo pred samim tekmovanjem in da jim zakrpanje ranljivosti v zadnjem hipu mnogokrat prekriža načrte. A MWR je očitno poznal luknjo, ki je Google do danes ni. Že na začetku dneva je, povsem pričakovano, padla Java.

Za zdaj ostajajo nezlomljeni Flash, Adobe Reader in Safari, ki so na vrsti drugi dan tekmovanja. Hkrati se dan pozneje začenja tudi Googlovo vzporedno tekmovanje Pwnium, ki je nastalo lani kot odgovor na čudaška pravila Pwn2Own. Čeprav se je letos Google vrnil, Pwnium ostaja, le da na njem za skupni nagradni sklad 3,14 milijona dolarjev napadajo Chrome OS.

13 komentarjev

Glugy ::

Tisti ki so zadolženi za luknje jih more verjetn ves čas bolet glava ker nikol ni konc teh luken. Tako napredno tehnologijo imamo, toliko vemo ampak kako se izognt luknam na praktičn način pa očitno še dolg oz nikol navmo.

MisterR ::

Hmmm... kak je spet bil VUPEN prvi, a niso žrebali vrstnega reda?

denial ::

Vrstni red letos ni bil pomemben. ZDI je kupil vse buge, ki so bili uspešno exploitani.

The final score

SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

Hayabusa ::

Java in varnost v istem stavku je paradoks :)).

Rias Gremory ::

Upam, da bo flash kmalu padel. :D
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.

Pluser ::

Vrejetno jih je na začetku google podkupil ko niso mogli chroma zlomiti.Sedaj pa ga ko je še bolj Stabilen in ima manj napakic pa ga že na začetku uničijo.Prvi dokaz za podkupovanje.

Zgodovina sprememb…

  • spremenil: Pluser ()

cryptozaver ::

Zakaj pa razvijalci nimajo svojega 'VUPEN' tima ali preprosto najamejo koga, da jim pošteno testira SW?

Zato ker kupci/uporabniki sprejmemo polizdelek. In dokler se ta zavest ne spremeni, bomo pač morali vlagati v informacijsko varnost precej več kot bi to bilo potrebno ;((

Zgodovina sprememb…

Smurf ::

cryptozaver je izjavil:

Zakaj pa razvijalci nimajo svojega 'VUPEN' tima ali preprosto najamejo koga, da jim pošteno testira SW?

Zato ker kupci/uporabniki sprejmemo polizdelek. In dokler se ta zavest ne spremeni, bomo pač morali vlagati v informacijsko varnost precej več kot bi to bilo potrebno ;((

Zagotovo imajo testerje in ljudi, ki iscejo napake. Preprican sem, da tudi najdejo marsikaj. Nemogoce pa je po handlat vse (razen ce bi ustavil razvoj za nekaj let in bi delal le na krpanju lukenj).

MrStein ::

A se še kdo spomni visokoletečih izjav o (varnostno) izboljšani arhitekturi Win 7?
Zaradi katerih si čisti luzer, če si še vedno na XP?
Jaz se. Z nasmehom.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

denial ::

Po tvoje sta torej XP in Win7 z vidika varnosti v enaki kategoriji? Please elaborate.
SELECT finger FROM hand WHERE id=3;

Highlag ::

Java padla 5x v 2 dneh. -> verjetno najbolj razširjen del programske opreme, ki ima tudi največ lukenj. Potem pa banke furajo čez varnostne stvari.... jao... Tole bi morali s kakšnim zakonom prepovedat.
Flash je tudi popustil.
Adobe reader tudi. Škoda, da v tej kategoriji ni še kakšnega drugega pregledovalnika PDF-ov.
Never trust a computer you can't throw out a window

M.B. ::

Adobe reader tudi. Škoda, da v tej kategoriji ni še kakšnega drugega pregledovalnika PDF-ov.


Je Firefox. Prej z addonom pdf.js zdaj pa že kr direktno. Bere PDFje z Javascriptom, ki je že v sandboxu.
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.

MrStein ::

denial je izjavil:

Po tvoje sta torej XP in Win7 z vidika varnosti v enaki kategoriji? Please elaborate.

Sem vprašal, nič trdil.
"Elaborat" pa imaš na vrhu strani.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Prvi dan Pwn2Own padle vse tarče

Oddelek: Novice / Varnost
3413803 (10612) MrStein
»

Prvi dan Mobile Pwn2Own vsi telefoni padli kot zrele hruške

Oddelek: Novice / Varnost
2312196 (9497) RejZoR
»

Na letošnjem Pwn2Own največkrat zlomljen Firefox

Oddelek: Novice / Varnost
208938 (6533) kronik
»

Drugi dan Pwn2Own 2013 padla še Flash in Adobe Reader, preživel le Safari

Oddelek: Novice / Varnost
136234 (4095) Blisk
»

Letošnji Pwn2Own z višjimi nagradami in povratkom Googla

Oddelek: Novice / Varnost
104860 (3342) MisterR

Več podobnih tem