:

Szerző: Bodnár Ádám

2010. március 25. 09:16

A Chrome kivételével percek alatt feltörték az összes böngészőt

A kanadai CanSecWest biztonsági konferencián idén negyedszer rendezték meg a Pwn2Own hackerversenyt, amelyen szokás szerint a böngészőket vették tűz alá. A Google Chrome kivételével néhány perc alatt mindegyiket feltörték.

A vártnál is gyorsabb sikert hozott a CanSecWest biztonsági konferencián tegnap kezdődött Pwn2Own hackerverseny, az Internet Explorer 8, a Firefox a Safari és az iPhone OS feltöréséhez csupán percekre volt szüksége az indulóknak. A Pwn2Own idén negyedszer zajlik, a verseny támogatója a 3Com biztonsági kutatórészlege, a TippingPoint, amely a felajánlott pénzdíjakért cserébe megveszi a versenyzőktől a támadások részleteit és értesíti az érintett gyártókat. Ameddig a böngészők fejlesztői nem foltozzák be a támadásokhoz használt biztonsági réseket, a Pwn2Own szervezői sem hozzák nyilvánosságra, hogy milyen módszereket használtak a hackerek.

Az idei versenyen a leggyorsabban a Mac OS X-en futó Safari esett el amely mindössze 10 másodpercig okozott problémát Charlie Millernek. Az Independent Security biztonsági szakembere már legendának számít a Pwn2Own versenyek történetében, mivel 2008-ban és 2009-ben is elsőként törte fel a Safarit és nyerte meg a böngészőt futtató MacBook Pro számítógépet, valamint 10 ezer dollár pénzdíjat. Senki másnak nem sikerült még háromszor megnyernie a Pwn2Own-t.

Az iPhone operációs rendszerének feltöréséhez kevesebb  mint öt percre volt szüksége Vincenzo Iozzo olaz és  Ralf-Philipp Weinmann luxemburgi biztonsági szakértőnek, így 15 ezer dollárrall lettek gazdagabbak. A tavalyi Pwn2Own versenyen még senkinek sem sikerült megtörni az iPhone OS-t, idén azonban Iozzo és Weinmann sikeresen hajtott végre egy olyan támadást, amely a böngésző sebezhetőségén alapult. A weboldal meglátogatása során a kártékony kód kiolvasta a telefonból az összes tárolt SMS-t, de a versenyzők felhívták a figyelmet, hogy tetszőleges más adatra is rátehették volna a kezüket.  Weinmann már régóta ismert arca a biztonsági szakmának, 2007-ben tagja volt annak a csoportnak, amely bemutatta, hogyan lehet minden korábbinál gyorsabban, percek alatt feltörni a vezeték nélküli hálózatok védelmére szolgáló WEP titkosítást.

A holland Peter Vreugdenhil az Internet Explorer 8 védelmének kijátszásával próbálkozott, sikeresen. A támadás részleteiről semmit sem tudni egyelőre, de a TippingPoint \"technikailag impresszívnek\" nevezte azt, amely során  Vreugdenhil a Windows 7 operációs rendszerbe épített Data Execution Prevention (DEP) és Address Space Layout Randomization (ASLR) technológiákat egyaránt megkerülte. A Firefoxot egy német biztonsági sebezhetőségkutató törte fel, akinek csak a beceneve ismert: Nils. A fiatalember idén másodszor nyert a Pwn2Own-on, tavaly az IE8, a Firefox és a Safari védelmének megkerülésével zsebelt be 15 ezer dollárt.

A hackerverseny első napján egyedül a Google Chrome maradt állva, a kísérletező kedvű hackerek ma folytathatják a próbálkozásokat, emellett egy Nokia E72, egy Google Nexus One és egy Blackberry okostelefon is feltörésre vár még.

a címlapról