» »

Na Pwn2Own padla večina programske opreme

Na Pwn2Own padla večina programske opreme

Slo-Tech - Končala se je letošnja izvedba vsakoletnega hekerskega tekmovanja Pwn2Own, na kateri prijavljene skupine in posamezniki poizkušajo demonstrirati izrabo ranljivosti v programski opremi, ki je na razpolago. Pwn2Own vsako leto poteka v Vancouvru, letos pa je zaradi pandemija koronavirusa postal virtualno tekmovanje. Ni pa se spremenil razplet, saj se je ponovno izkazalo, da je večina priljubljene programske opreme ranljiva. Razen enega poizkusa so uspeli vsi ostali.

Skupili so jo Applov Safari na MacOS, operacijski sistem Windows, Ubuntu Desktop, Oraclov VirtualBox in Adobe Reader na Windows. Uspešni tekmovalci so prejeli tudi nagrade, in sicer prvi dan 180.000 dolarjev in drugi dan še polovico toliko.

Tekmovanje je potekalo po ustaljenih pravilih. Razpisana je bila programska oprema, ki so jo ponudili proizvajalci in zagotovili tudi nagrade. Tekmovalci so se prijavili konkretno za posamezen izdelek in ga potem na tekmovanju morali tudi resnično napasti. Katero ranljivost so izrabili, so smeli razkriti le proizvajalcem, ki imajo sedaj 90 dni časa za pripravo popravkov, šele nato bo luknje javno znane.

7 komentarjev

MrStein ::

they leveraged UAFs in Reader and Windows kernel to escalate to SYSTEM. All it took was opening a PDF and the entire system was compromised


S temi PDF so res ves čas problemi. A je to zaradi formata samega? Ali so zgolj bolj na udaru napadalcev?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

LightBit ::

"everybody uses Adobe PDF reader"
Resno?

LightBit ::

MrStein je izjavil:

they leveraged UAFs in Reader and Windows kernel to escalate to SYSTEM. All it took was opening a PDF and the entire system was compromised


S temi PDF so res ves čas problemi. A je to zaradi formata samega? Ali so zgolj bolj na udaru napadalcev?

Če mene vprašaš, zato ker je prekomliciran (a res rabiš skripte v PDF?). Ostali PDF readerji tega ne podpirajo in zato nimajo težav.
Adobe povsod tlači neke skripte.

Rokec ::

Kateri poizkus pa ni uspel?

LightBit ::

VMWare ni uspel.

MrStein ::

Je pa baje uspel v pozneje narejenem poskusu.

--> "upon disclosure, we did find the bug to be valid"
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

spegli ::

Torej Debian.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Na Pwn2Own padla večina programske opreme

Oddelek: Novice / Varnost
226467 (3903) crniangeo
»

Prvi dan Pwn2Own padle vse tarče

Oddelek: Novice / Varnost
349574 (6383) MrStein
»

Na letošnjem Pwn2Own največkrat zlomljen Firefox

Oddelek: Novice / Varnost
206785 (4380) kronik
»

Prvi dan Pwn2Own 2013 zlomljeni Chrome, Firefox, IE10 in Java

Oddelek: Novice / Varnost
136173 (4080) MrStein
»

Google skupno ponuja milijon dolarjev za ranljivosti v Chromu

Oddelek: Novice / Varnost
125467 (3944) rolihandrej

Več podobnih tem