Na letošnjem Pwn2Own največkrat zlomljen Firefox

Prejšnji teden je v Vancouvru potekala konferenca CanSecWest, v okviru katere vsako leto teče tekmovanje v vdiranju Pwn2Own. Razdelili so 850.000 dolarjev nagrad za 12 uspešnih napadov na komercialno programsko opremo. Največkrat je padel Firefox.

Prvi dan tekmovanja je pet ekip demonstriralo pet uspešnih napadov. Jüri Aedla je uspešno napadel Firefox (izvajanje kode zaradi pisanja in branja izven mej, out-of-bound read/write), Mariusz Mlynski je zoper Firefox izkoristil kar dve ranljivosti, in sicer eno za eskalacijo privilegijev in drugo za obvoz vgrajenih varnostnih mehanizmov. Francoska ekipa VUPEN, ki je tradicionalno med najmočnejšimi, je pokazala kar štiri ranljivosti. Zlomili so Adobe Flash, Adobe Reader, Microsoft Internet Explorer in Firefox.

Drugi tekmovalni dan je bilo uspešnih vdorov kar sedem. Padli so Chrome dvakrat (VUPEN in anonimni temovalec), Internet Explorer že drugič (ekipa Sebastian Apelt in Andreas Schmidt), Safari (Liang Chen), Firefox že četrtič (George Hotz) in Adobe Flash drugič.

Letos je potekal tudi dobrodelni del tekmovanja z imenom Pwn2Fun, kjer sta tekmovala Google in ZDI. Google je uspešno vdrl v Safari, ZDI (del Hewlett-Packarda) pa v Chrome. Tako so zbrali 82.500 dolarjev za kanadski Rdeči križ.

Kot velevajo pravila, so tekmovalci vse ranljivosti, ki so jih uporabili za vdor, razkrili proizvajalcem, ki bodo poskrbeli za njihovo zakrpanje. Najuspešnejši tekmovalci so bili ponovno VUPEN, ki so domov odnesli 400.000 dolarjev oziroma skoraj polovico podeljenih nagrad. Glede na to, da se VUPEN preživljajo z odkrivanjem ranljivosti in njihovo prodajo ter prodajo zaščite svojim naročnikom, na Pwn2Ownu prisluženi znesek predstavlja žepnino in ni nobeno presenečenje. Mozilla pa dodaja, da nevarnosti praktično ni, ker ranljivosti niso javno znane, že prihodnji teden pa bodo izdali popravke zanje.