Prvi dan Pwn2Own padle vse tarče

Danes se je v sklopu konference CanSecWest v Vancouvru začelo vsakoletno tekmovanje v vdiranju v brskalnike in operacijske sisteme Pwn2Own. Prvi dan so si tekmovalci prislužili 317.500 dolarjev, ko so zlomili Adobe Reader in Flash, Windows, Internet Explorer 11 in Firefox. Jutri bo na sporedu drugi dan tekmovanja.

Najprej sta ekipi Team509 in KeenTeam razbili Adobe Flash. KeenTeam je Flash razbila že tudi lani. Obe sta letos izrabili isto ranljivost, in sicer sta s prekoračitvijo kopice (heap overflow) izvedli nepooblaščeno kodo ter z eskalacijo privilegijev pridobili dostop do jedra Windows. Prejeli sta 85.000 dolarjev (60.000 za Flash in 25.000 za Windows). Nicolas Joly, ki je svoj čas delal za VUPEN, je prav tako uspešno zlomil Flash, a je uporabil drugo ranljivost. Prejel je 30.000 dolarjev, a ne ker bi bil njegov podvig slabši, temveč ker je bil izžreban na slabše mesto. Le prvi uspešni zlom se namreč nagradi s polnim zneskom, preostali pa s polovičnim. Toda prejel je še dodatnih 60.000 dolarjev za uspel napad na Adobe Reader. Tudi ekipi KeenTeam in TencentPCMgr sta uspešno zlomili Reader, le da prek druge luknje.

Mariusz Mlynski je v 0,542 sekunde sesul Firefox in pridobil poln dostop do Windows. Spet je prejel 30.000 dolarjev za Firefox in 25.000 za Windows. Odkril je fundamentalno napako v Windows, ki jo bo Microsoft najhitreje zakrpal. Letos namreč spet velja, da so tekmovalci zavezani uporabljene ranljivosti razkriti proizvajalcem, ki potem pripravijo popravke, preden postanejo podrobnost javno znane. Na koncu so 360Vulcan Team uspešno napadli še 64-bitni Internet Explorer 11 za 32.500 dolarjev, kar je polovica razpisane nagrade, ker ranljivost bi bila kritična.

Skupna bilanca prvega dne je torej 3 luknje v Adobe Reader, 3 luknje v Adobe Flashu, 3 luknje v Windows, 2 luknji v Internet Explorerju 11 in 2 luknji v Firefoxu. Jutri bodo na tnalu Safari (50.000 dolarjev), Chrome (75.000 dolarjev) in Internet Explorer (65.000 dolarjev). Ranljivosti v Chromu 42, ki je še v beta verziji, bodo nagrajene z 10.000 dolarji.