» »

Masaker programske opreme na letošnjem Pwn2Ownu

Masaker programske opreme na letošnjem Pwn2Ownu

Slo-Tech - Na letošnjem hekerskem tekmovanju Pwn2Own, ki se je odvijalo minula dva dni v Vancouvru, so razdelili 460.000 dolarjev nagrad tekmovalcem, ki so odkrili 21 novih ranljivosti v operacijskih sistemih Windows in OS X, v brskalnikih Safari, Edge in Chrome ter v Flashu. Firefox letos sploh ni bil na seznamu, ker se ocenili, da ima toliko lukenj, da njegovo lomljenje sploh ne bi bilo zanimivo.

Potem ko je bil Pwn2Own nekaj časa pod vprašajem, saj je prireditelja Tipping Point od Hewlett-Packarda odkupil Trend Micro, so tekmovanje ohranili in nekoliko modernizirali. Poleg klasičnih tarč in nagrad so uvedli tudi rubriko Master of Pwn, ki je služila kot nekakšen skupni seštevek za vse, ki so tekmovali v več kategorijah.

Na mizi je bilo 65.000 dolarjev za vdor v Chrome, prav toliko za Mirosoftov Edge, 40.000 dolarjev za Applov Safari (in dodatnih 20.000 dolarjev za popoln prevzem nadzora nad sistemom), 60.000 za Flash v Edgeu ter 75.000 dolarjev za uspešen pobeg iz virtualnega stroja VMware Workstation v Windows. In je šlo.

Prvi dan smo videli dva uspešna napada na Adobe Flash in enega neuspešnega, dva uspešna napada na Apple Safari in en delno uspešen napad na Google Chrome. Drugi dan je Safari padel še enkrat in Edge še dvakrat. Kot skupni zmagovalec je bila okronana ekipa Tencent Security Team Sniper, skupno pa so vsi tekmovalci prijavili 21 ranljivosti - šest v Windows, pet v Apple OS X, štiri v Flashu, tri v Safariju, dve v Edgeu in eno v Chromu. Chrome se je izkazal kot najodpornejši brskalnik, saj je bila še ta izrabljena ranljivost predhodno že javljena Googlu, le zakrpali je še niso. Ostale so bile nove. VMWare Workstation je obstal, kar je zelo dobra novica za vse, ki se bojijo, ali se lahko virusi prenesejo iz gosta v gostitelja - zelo težko.

35 komentarjev

shadeX ::

Firefox letos sploh ni bil na seznamu, ker se ocenili, da ima toliko lukenj, da njegovo lomljenje sploh ne bi bilo zanimivo.


Made me lol.

Chrome se je izkazal kot najodpornejši brskalnik, saj je bila še ta izrabljena ranljivost predhodno že javljena Googlu, le zakrpali je še niso.


Sem bil zagret fan Firefoxa, dokler ni prišel Chrome, ki se je izkazal za resnično dober brskalnik. Seveda najbolj me je prepričala hitrost, dodatno pa tudi to da že nekaj časa velja za varnejši kot Firefox.

Firefox se mi zdi da z leti postaja vedno večji joke.

čuhalev ::

Chrome ne podpira piškotkov znotraj iframe. Recimo, če imaš notri login okno, ti to ne bo delovalo.

Rias Gremory ::

Mja, FF je tko tko zadnje čase.
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.

popster ::

Firefox letos sploh ni bil na seznamu, ker se ocenili, da ima toliko lukenj, da njegovo lomljenje sploh ne bi bilo zanimivo.

ocenili kdo?
nevem kako ranjlivost ma moj firefox na linuxu, vejretno vsi brskajo po mojih sistemskih datotekah.
mogoče pa me kdo gleda z kamero ki je moj računalnik nima:))

Ribič ::

Sem pa že mislil, da Firefoxa ni na seznamu zato, ker se je tako izboljšal, da je postal nezlomljiv...

Dr_M ::

Firefox se mi zdi da z leti postaja vedno večji joke.


To je zato, ker ima LGBT prste vmes.
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.

Zgodovina sprememb…

  • predlagalo izbris: zee ()

coffeetime12 ::

Firefox letos sploh ni bil na seznamu, ker se ocenili, da ima toliko lukenj, da njegovo lomljenje sploh ne bi bilo zanimivo.


w3m FTW :)

Looooooka ::

Kje so zdej vsi glasni ljubitelji in goreči podporniki šal o majkrosoftovih brskalnikih?

popster ::

Sej piše v novici da je MSjev Edge skupaj s Safarijem padel 2x.

Netrunner ::

Pa kaj ga FF tako lomi zadnje čase. Meni je še vedno favorite.

filip007 ::

FF je malo zadaj ostal, razvija pa nov pogon Servo.
Trevor Philips Industries

Motion ::

Sem pričakoval da bo Edge večkrat klecnil, ker je praktično nov brskalnik s kar nekaj hrošči še. Bomo tud vidli kako bo nasledne leto ko bo podpiral vtičnike.

Fif55 ::

Seveda, da je Firefox luknjast, če je eden izmed redkih, ki še podpira flash player in razne plugine. Probaj gledat AmisTV na Chrome ali Edge. Ne dela! Ali zaigrati flash igerco.
Brskalnik, ki ga ne moreš uporabljat za vse kaj naj bi omogočal, ni koristen.

Glavno, da sem pa varen. Vlada mi 3-krat na dan vdira, ruski in ostali hekerji pa vsako uro. Res hvala bogu, da me Chrome in Safari ščitita, če ne bi vsi izvedeli moje tajne državne skrivnosti in zgodovino brskanja. ^o^

Google in Microsoft, že tak vse vesta, kaj se na brskalniku oz. pc-ju dogaja.

Izi ::

Vidim, da je že Fif55 napisal. Firefox je pričakovano najmanj varen, ker je daleč bolj funkcionalen od ostalih brskalnikov. Firefox omogoča praktično vse kar si kdorkoli sploh lahko zamisli, kar pa seveda za seboj potegne marsikatero ranljivost.

Lahko je imeti najbolj varen in najhitrejši brskalnik, če pa ne omogoča praktično ničesar razen najosnovnejših funkcij za prikaz slike in seveda sprotnega skrbnega pošiljanja Googlu vsega kar se dogaja na računalniku.

Firefox je po uporabnosti še vedno svetlobna leta pred vsemi ostalimi brskalniki, ima pa ravno zato tudi največ ranljivosti.
Tudi če pogledamo operacijski sistem je stari DOS praktično neranljiv in brez napak, pa večina uporablja Windows, ki je najbolj ranljiv sistem. Če bi na Pwn2Ownu prinesli računalnik z nameščenim DOS nihče ne bi mogel vlomiti vanj. Zakaj smo ga torej nadomestili z Windows?
Kaj ti koristi najbolj varen brskalnik, če ne moreš uporabljati naprednih funkcij? Pa še uporabnikove navade zbira in jih pošilja ven za "omogočanje boljših uporabniških izkušenj v prihodnje".

shadeX ::

Firefox omogoča praktično vse kar si kdorkoli sploh lahko zamisli,


Npr. kaj?

in seveda sprotnega skrbnega pošiljanja Googlu vsega kar se dogaja na računalniku.


Maš kak vir to?

Firefox je po uporabnosti še vedno svetlobna leta pred vsemi ostalimi brskalniki,


Ja. Prosim par argumentov zakaj?

Pithlit ::

Oh buhu! Omiljeni brskalnik je joke (z razlogom) in je treba zato gnojnico zlivat po drugih. Ne se hecat. Da pa ga uporabljate samo zaradi podpore flash-u je pa smeha polna skleda.
Life is as complicated as we make it...

ZaphodBB ::

Ja. Prosim par argumentov zakaj?

Chrome še danes nima resnega tree style tab plugina. To je zame major blocker.
"Naši dedje so se borili za to, da lahko odločamo
o lastni usodi - ne o usodi drugih ljudi." -jype

shadeX ::

Jah vsakemu svoje. Nekateri imajo raje tree-like tabe, drugi pa damo bolj na hitrost. :)

Ribič ::

Pa kaj ljudje danes dejansko še vedno uporabljajo Flash?
Mar ne veste, da je Flash na prvem mestu glede ranljivosti pluginov in aplikaciji na spletu?

Izi ::

Ribič je izjavil:

Mar ne veste, da je Flash na prvem mestu glede ranljivosti pluginov in aplikaciji na spletu?

Vemo, vemo, ampak ima toliko prednosti pred tistim špartansko HTML 5 nadomestkon, da odtehta nekaj pomanjkljivosti.
Sploh predvajalnik video vsebin je v HTML 5 zaenkrat komajda uporaben za povrh pa še hudo počasen in še hudo grd z glomazno velikim in grdim vmesnikom.
Tako da vsaj kar se tiče predvajanja video vsebin, Flash zaenkrat še nima niti približno uporabnega nadomestka.

šernk ::

Osebno če stran za delovanje zahteva flash, silverlight in podobne smeti jo enostavno zaprem.

uporabljam pa chromium, ki je odprtokoden projekt temelječ na chromu.
In general, high velocity doesn't produce harmful injuries.
But what is dangerous is the high acceleration
or deceleration given at a certain time interval.

Brane22 ::

Falili ste bistvo glede Firefoxa.

Ni pomambna kakovosti produkta toliko, kot je pomembno, da imajo CEO-ta, ki _nikoli_ ni imel nekorektne misli ali dejanja do istospolnih porok. Čudi me, da to ni bilo omenjeno.

noraguta ::

Brane22 je izjavil:

Falili ste bistvo glede Firefoxa.

Ni pomambna kakovosti produkta toliko, kot je pomembno, da imajo CEO-ta, ki _nikoli_ ni imel nekorektne misli ali dejanja do istospolnih porok. Čudi me, da to ni bilo omenjeno.

Fejst človk, kt jehovc
Pust' ot pobyedy k pobyedye vyedyot!

Pithlit ::

Brane22 je izjavil:

Čudi me, da to ni bilo omenjeno.

Vse polno zlatih ribic...

Dr_M je izjavil:

To je zato, ker ima LGBT prste vmes.


Sam, pač, se ignorira. Ker ima z vsem skupaj ene tolk veze kor 'faznpfifer' z alpinizmom.
Life is as complicated as we make it...

Zgodovina sprememb…

  • predlagal izbris: Jirzy ()

Rias Gremory ::

IMHO je Izi pretiraval četudi sem sam uporabnik FF.
Ampak, da bi FF uporabljal zaradi Flasha.
:))
Nekaj mesecev nazaj sem reku, "jeb*š to sranje" in ga odstranil, ker mi je redno crashal. Je zdaj brskalnik bolj odziven, če pa nujno rabim obiskat stran, ki potrebuje Flash pa odprem Chromium.
Je pa dejstvo, da je Flash govno in naj se čimprej opusti.

Btw, Eich (tisti, ki je bil kratek čas CEO pri FF) zdaj razvija svoj brskalnik pod imenom Brave. Fajn je ker ima vgrajen adblocker ter HTTPS Everywhere.
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.

MrStein ::

Izi je izjavil:


Tudi če pogledamo operacijski sistem je stari DOS praktično neranljiv in brez napak

Ja, ker sploh ni bil gojišče virusov in imel nekje null-komma-jozef varnostnih funkcij.

Mogoče je šlo za sarkazem...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

noraguta ::

Pithlit je izjavil:

Brane22 je izjavil:

Čudi me, da to ni bilo omenjeno.

Vse polno zlatih ribic...

Dr_M je izjavil:

To je zato, ker ima LGBT prste vmes.


Sam, pač, se ignorira. Ker ima z vsem skupaj ene tolk veze kor 'faznpfifer' z alpinizmom.

Prou zares, zato pa ne vlečemo duspol-a u hribe.
Pust' ot pobyedy k pobyedye vyedyot!

Ahim ::

MrStein je izjavil:

Izi je izjavil:


Tudi če pogledamo operacijski sistem je stari DOS praktično neranljiv in brez napak

Ja, ker sploh ni bil gojišče virusov in imel nekje null-komma-jozef varnostnih funkcij.

Mogoče je šlo za sarkazem...


Prej nepoznavanje - najbrz ga fant ni nikoli od blizu videl.

Sistem, ki tece v realnem nacinu, je vse drugo kot pa "prakticno neranljiv".

LightBit ::

shadeX je izjavil:

Firefox se mi zdi da z leti postaja vedno večji joke.

Meni se zdi, da je Firefox zelo napredoval, odkar se je pojavil Chrome. Porabi manj rama in je hitrejši kot je bil.
Sem uporabljal Chrome, ampak sem se vrnil nazaj na Firefox, ker Chrome postal debel in preveč "pameten".

BCSman ::

Firefox je še vedno edini, kjer lahko po defaultu izklopiš beleženje zgodovine. Brez nekih incognito oken odpirat in teh bedarij.

pegasus ::

Opera 12 ... to sploh nihče več ne zna shekat :D

WhiteAngel ::

Tole me zanima:
Firefox letos sploh ni bil na seznamu, ker se ocenili, da ima toliko lukenj, da njegovo lomljenje sploh ne bi bilo zanimivo.


Potem sem pogledal še omenjen link. Kaj točno so "varnostne posodobitve", ki jih je v lanskem letu Chrome, Edge in Safari implementiral, FireFox pa ne, in se ga zato sploh niso lotili? Imam občutek, da je tu en kup FDV-jevskega bluzenja in marketinga s strani Googla/M$/Appla kot kakšna resnejša inženirska analiza. Ima kdo več informacij?

Looooooka ::

Izi je izjavil:

Vidim, da je že Fif55 napisal. Firefox je pričakovano najmanj varen, ker je daleč bolj funkcionalen od ostalih brskalnikov. Firefox omogoča praktično vse kar si kdorkoli sploh lahko zamisli, kar pa seveda za seboj potegne marsikatero ranljivost.

Lahko je imeti najbolj varen in najhitrejši brskalnik, če pa ne omogoča praktično ničesar razen najosnovnejših funkcij za prikaz slike in seveda sprotnega skrbnega pošiljanja Googlu vsega kar se dogaja na računalniku.

Firefox je po uporabnosti še vedno svetlobna leta pred vsemi ostalimi brskalniki, ima pa ravno zato tudi največ ranljivosti.
Tudi če pogledamo operacijski sistem je stari DOS praktično neranljiv in brez napak, pa večina uporablja Windows, ki je najbolj ranljiv sistem. Če bi na Pwn2Ownu prinesli računalnik z nameščenim DOS nihče ne bi mogel vlomiti vanj. Zakaj smo ga torej nadomestili z Windows?
Kaj ti koristi najbolj varen brskalnik, če ne moreš uporabljati naprednih funkcij? Pa še uporabnikove navade zbira in jih pošilja ven za "omogočanje boljših uporabniških izkušenj v prihodnje".

Windows že leta ni najbolj ranljiv os....firefox pa nikoli ni bil varen. Smešno je to, da zdaj vsi, ki so prešaltali na Chrome, pljuvajo po njem, prej pa so bili goreči podporniki. Ovce.

Brane22 je izjavil:

Falili ste bistvo glede Firefoxa.

Ni pomambna kakovosti produkta toliko, kot je pomembno, da imajo CEO-ta, ki _nikoli_ ni imel nekorektne misli ali dejanja do istospolnih porok. Čudi me, da to ni bilo omenjeno.

To je čisto nepomembno, ko je tema kvaliteta izdelka.

Zgodovina sprememb…

  • spremenilo: Looooooka ()

romegregor ::

Še najbolj varno pa je, da ne uporabljaš NIČESAR, se popolnoma izoliraš od družbe (da ti mogoče ja ne bo kdo izvedel social engineering), se za to zavlečeš v eno jamo in tam počakaš na starko s koso :D
Pa dejte no, naj dvigne roko tisti, ki je bil tukaj že kdaj tarča kakšnega napada, ki je rezultiral v škodi?

P.S.: uporabljam Chrome ;)

gslo ::

kaj to pomeni za tor browser? saj bazira na FF, a ne?


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Letos na Pwn2Own tarča tudi avtomobil Tesla

Oddelek: Novice / Varnost
54122 (2162) Nikonja
»

Na Pwn2Own padla večina programske opreme

Oddelek: Novice / Varnost
2211160 (8596) crniangeo
»

Prvi dan Pwn2Own padle vse tarče

Oddelek: Novice / Varnost
3413810 (10619) MrStein
»

Na letošnjem Pwn2Own največkrat zlomljen Firefox

Oddelek: Novice / Varnost
208949 (6544) kronik
»

Letošnji Pwn2Own z višjimi nagradami in povratkom Googla

Oddelek: Novice / Varnost
104867 (3349) MisterR

Več podobnih tem