Prvi dan Pwn2Own 2013 zlomljeni Chrome, Firefox, IE10 in Java
Matej Huš
8. mar 2013 ob 00:09:27
V Vancouvru poteka že sedmi Pwn2Own, kakor se imenuje vsakoletno tekmovanje v iskanju ranljivosti in njihovi uporabi za vdor v priljubljene operacijske sisteme, brskalnike in mobilne naprave. Letos se ponovno vrača Google, ki je lani sponzorstvo odpovedal, ker spremenjena pravila niso zahtevala razkritja uporabljenih ranljivosti proizvajalcu. Letos je spet vse po starem, saj morajo tekmovalci razkriti vse detajle o ranljivosti, da si prislužijo nagrado (tehnično gledano jim ZDI ranljivost odkupi). Nagradni sklad ni skromen in znaša dobrega pol milijona dolarjev.
Prvi dan tekmovanja so že padle največje zvezde. Francosko podjetje VUPEN, ki je vodilno v iskanju in žal tudi trgovanju z ranljivostmi, je z dvema zero-day ranljivostma zlomilo Internet Explorer 10 na tablici Surface Pro in obšlo peskovnik, tako da so pridobili neposreden dostop do Windows 8. Zlomili so tudi Firefox 19 na platformi Windows 7. Za oboje skupaj so si prislužili 160.000 dolarjev, kar je v svetu, kjer deluje VUPEN, drobiž. Kasneje je ekipa MWR Labs iz Velike Britanije zlomila Chrome 25 in uspešno obšla peskovnik. To je malo problematično, ker je Google le nekaj dni pred tekmovanjem izdal obsežen sveženj popravkov, ki so zakrpali kopico lukenj. Vemo namreč, da tekmovalci svoje napade skujejo že mnogo pred samim tekmovanjem in da jim zakrpanje ranljivosti v zadnjem hipu mnogokrat prekriža načrte. A MWR je očitno poznal luknjo, ki je Google do danes ni. Že na začetku dneva je, povsem pričakovano, padla Java.
Za zdaj ostajajo nezlomljeni Flash, Adobe Reader in Safari, ki so na vrsti drugi dan tekmovanja. Hkrati se dan pozneje začenja tudi Googlovo vzporedno tekmovanje Pwnium, ki je nastalo lani kot odgovor na čudaška pravila Pwn2Own. Čeprav se je letos Google vrnil, Pwnium ostaja, le da na njem za skupni nagradni sklad 3,14 milijona dolarjev napadajo Chrome OS.