Вы находитесь здесь: Главная > Новости Software > Pwn2Own: браузеры не устояли перед хакерами

Pwn2Own: браузеры не устояли перед хакерами

Ни один из браузеров не смог устоять перед хакерским конкурсом Pwn2Own прошедшим в этом году. И последние версии Microsoft Internet Explorer, и Google Chrome, и Mozilla Firefox – все пали жертвами хакеров, ориентировавшихся на различные содержащиеся в них и в Windows уязвимости. Французская компания безопасности Vupen – которую в прошлом критиковали за продажу эксплоитов правительствам – снесла защиту IE10 на планшете Surface Pro под управлением Windows 8, и также уложила Firefox на Windows 7. Больше всего усилий потребовал первый взлом. Для его осуществления потребовалось использовать пару отдельных уязвимостей «нулевого дня» и обход песочницы. Но и приз за этот взлом впечатляет – целых $100000. В отличие от прошлого года, из-за смены правил конкурса, Vupen раскрыла всю информацию о том, как производился взлом, чтобы можно было закрыть уязвимости. В тоже время Firefox пал жертвой эксплоита нулевого дня, который обошел рандомизацию адресного пространства (ASLR) браузера и защиту предотвращения выполнения данных (DEP) в Windows. За вторую атаку хакеры получили еще $60000. Также в первый день под натиском пары хакеров из MWR Labs пал жертвой Chrome 25. Хакеры использовали уязвимость в браузере, чтобы выполнить код, и уязвимость в ядре Windows для увеличения системных привилегий по исполнению кода на машине. Это принесло им $100000. Интересно, но перед самым началом конкурса Google закрыл в своем браузере 10 уязвимостей. Лишь один браузер смог пережить этот конкурс без взлома, но это совсем мне говорит о его безопасности. Ни один из исследователей в этом году не направил свою силу против Safari под OS X. Хотя в прошлых годах браузер от Apple становился жертвой хакеров одним из первых. И в этом году за взлом Safari был обещан приз в $65000. Но то ли Safari больше не интересен хакерам, то ли приз показался им слишком маленьким – не ясно. На второй день конкурса Pwn2Own Джордж Хотз (George Hotz) заработал $70000 за взлом Adobe Reader, компания Vupen взломала Flash и заработала еще $70000, и трижды различными компаниями был взломан Java, что принесло по $20000 за каждый взлом. К концу конкурса было роздано как минимум $420000 из призового фонда в $560000, что является почти полной победой хакеров. К слову, с 6 по 8 марта на конференции безопасности CanSec West компания Google провела свой третий хакерский конкурс Pwnium. В этом году Pwnium 3 был ориентирован не на браузер от Google, а на операционную систему Chrome OS. Поисковый гигант пообещал наград на сумму свыше $3 миллионов. Награды можно было получить за два различных уровня взлома: $110000 за взлом браузера или системы в гостевом режиме или в режиме вошедшего пользователя, осуществленный посредством веб-страницы, и $150000 за взлом на основе уязвимостей самого устройства. Однако, по словам представителя Google, победить на Pwnium 3 никто так и не смог, хотя, возможно, частично это связано с незавершенностью или ненадежностью эксплоитов.

Ссылка на источник

  • Digg
  • Del.icio.us
  • StumbleUpon
  • Reddit
  • Twitter
  • RSS

Оставить комментарий

Вы должны быть авторизованы, чтобы оставить комментарий.