:

Szerző: Bodnár Ádám

2013. március 7. 11:57

Minden rendszer elesett a Pwn2Own versenyen

Minden böngésző és operációs rendszer elesett a CanSecWest biztonsági konferencia keretében rendezett Pwn2Own hackerversenyen, ahol a legutolsó operációs rendszereken futó, legfrissebb böngészőket és a Javát kellett megtörni. Fogást találtak a Chrome-on is, ami 100 ezer dollárt ért.

2007 óta rendezik meg a CanSecWest konferencián a Pwn2Own hackerversenyt, amely során az aktuális operációs rendszereket és böngészőket kell megtörnie a versenyzőknek. Az esemény természetesen idén is nagy érdeklődés közepette zajlott, a szétosztott díjak értéke összesen félmillió dollár volt.

A versenyzők a legutolsó patchekkel ellátott OS X, Windows 7 és Windows 8 rendszereken próbálkozhattak. 2013-ban minden böngésző kapitulált, a Firefoxot egy use-after-free sebezhetőséget kihasználó 0-day exploittal sikerült megfektetni, valamint egy olyan új technikával, ami sikeresen megkerülte a Windowsokba beépített ASLR (Address Space Layout Randomization) és DEP (Data Execution Prevention) technológiákat. A Firefoxot megtörő Vupen biztonsági cég munkatársai a Windows 8-at is sikeresen támadták két Internet Explorer 10 sérülékenységgel, valamint egy olyan módszerrel, ami segítségével ki tudtak törni a böngésző sandboxából. Az idén szinte heti rendszerességgel frissített Javát több próbálkozó is sikeresen törte meg heap overflow-t (memóriatúlcsordulást) használó támadással.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig

Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

A 2013-as verseny egyik legfigyelemreméltóbb eredménye, hogy újra sikerült fogást találni azon a Chrome-on, amelyet éppen a verseny előtt frissített a Google, majdnem egy tucat sebezhetőséget befoltozva benne. Az MWR Labs biztonsági cég hackerei azonban olyan sérülékenységet találtak a böngészőben, amelyet a Google még nem vett észre vagy nem javított. A Chrome-ban egy általuk preparált weboldalat megnyitva teljes kontrollt szereztek a rendszer felett, kódjuk ugyanis a sandboxból is ki tudott törni és a rendszer jogosultságaival tetszőleges kódot tudtak futtatni

A Pwn2Own szervezői a céges támogatóknak köszönhetően több mint félmillió dollár pénzdíjat osztottak szét. A Chrome feltörése és a Windows 8-on futó Internet Explorer exploit 100-100 ezer dollárt ért, a Windows 7 és Internet Explorer 9 páros 75 ezret, az OS X-en futó Safariból kijutó próbákozó markát 65 ezer dollár ütötte. 60 ezer dolláros díjat kapott, akinek sikerül a Windows 7-en működő Firefoxot uralma alá hajtani. Az Adobe Reader és Flash megtörése 70 ezer dollárt ért, a Javáért viszont csak 20 ezer dollár járt. A ma zajló Pwnium versenyen ennél sokkal nagyobb, 3,14 millió dollár a tét, amelyet egy legutolsó szoftververziót futtató Chromebook (Samsung Series 5 550) feltörésével lehet kiérdemelni.

A Pwn2Own versenyen megtalált sebezhetőségeket a gyártókkal osztják meg a szervezők, amelyek belátásuk szerint kezelik a megszerzett információkat.

a címlapról