25 мар. 2010 г.

На конкурсе хакеров были взломаны Safari, Firefox и IE8, но не Chrome

Первый же день хакерского конкурса Pwn2Own своими результатами напомнил результаты прошлого года. Хакеры одержали победу над всеми популярными на сегодняшний день браузерами, кроме Google Chrome, который, почему-то, никто даже не попробовал взломать.


Первым сдавшимся браузером стал Safari 4 на 10.6 Snow Leopard, который не долго сопротивлялся натиску уже известного в хакерской среде Чарли Миллера (Charlie Miller). Вот уже третий год подряд Миллер взламывает Safari на Pwn2Own. В этом году Миллер установил свой эксплоит на веб-сайте, и получил контроль над организаторским Macbook, направив ноутбук на свой сайт.

Следующим сдавшимся стал Internet Explorer 8, который был успешно взломан датским исследователем безопасности Петером Врегденхилом (Peter Vreugdenhil). В своей атаке Врегденхил использовал несколько уловок для обхода двух серьезных защит безопасности в Windows 7 - DEP и ASLR, и с помощью веб-сайта с эксплоитом взломал полностью пропатченный компьютер с Windows 7. По словам хакера, на обход DEP+ASLR и на написание эксплоита у него ушло примерно две недели.

Далее некий Nils с MWR InfoSecurity, являющийся студентом германского Ольденбургского университета, успешно взломал Firefox 3 на 64-битной Windows 7. При этом он использовал всем известный calc.exe! Впрочем, по словам “студента”, для демонстрации своего эксплоита он мог бы запустить любой процесс. В своей атаке он использовал уязвимость повреждения памяти (memory corruption vulnerability) и ему также пришлось обойти ASLR и DEP. На написание эксплоита, по его же словам, у него ушло всего лишь несколько дней. Напомню, что в прошлом году на Pwn2Own он же успешно взломал IE8, Safari и Firefox.

Лишь Google Chrome остался не затронутым. Ни один хакер даже не попытался взломать его. Объяснение этого могут дать прошлогодние слова Чарли Миллера, который сказал, что ошибки есть и в Chrome, но их очень трудно взломать. В частности, Миллер тогда заявил, что он знает об одной уязвимости в Chrome, но он просто не знает, как ее взломать. По его словам, это очень трудно.

В качестве награды все успешные конкурсанты получают по $10000 долларов США и по взломанному собой лэптопу. В качестве призов выступили 15” Apple Macbook Pro, 15” HP Envy Beats, 13” Sony Vaio и Alienware M11x. Также победители получают по 20000 ZDI-очков, что, как минимум, позволяет им получить платеж на $5000 и оплатить поездку и регистрацию на DEFCON в Лас-Вегасе.

Да, стоит отметить, что перед конкурсом все браузеры и все операционные системы получили последние доступные обновления. Подробности же взломов будут оставаться в тайне до тех пор, пока разработчики не выпустят для них исправлений.

Новости по теме:



Комментариев нет:

Отправить комментарий

 
Rambler's Top100