Safari oraz IE pokonane podczas Pwn2Own
Podczas pierwszego dnia hackerskiego konkursu Pwn2Own jako pierwsze poddały się przeglądarki Safari oraz Internet Explorer. Oba programy zostały złamane przez pierwsze osoby podejmujące próbę.
Producenci Firefoksa, Chrome'a i Safari od kilku tygodni publikowali poprawki w oczekiwaniu na Pwn2Own. Organizatorzy konkursu, spodziewając się takich zabiegów wykorzystali podczas zawodów przeglądarki w takich wersjach, w jakich były one dostępne na tydzień przed zawodami. Jednak opublikowanie łat w międzyczasie i tak miało wpływ na zwycięzców, a raczej na odbierane przez nich nagrody. Ustalono bowiem, że jeśli pomiędzy datą "zamrożenia" przeglądarki przez organizatorów, a datą zawodów, producent opublikował łaty, a uczestnik konkursu wykorzystał dziurę, która została we wspomnianym czasie poprawiona, to uczestnik nie otrzyma przewidzianej regulaminem nagrody pieniężnej. Pieniądze trafią do tego, kto wykorzysta niezałataną dziurę.
W ostatniej chwili przed zawodami Apple załatał około 60 dziur w swojej przeglądarce. Mimo to zabezpieczenia Safari przełamał zespół z francuskiej firmy Vupen, który zdobył nagrodę pieniężną, co oznacza, że wykorzystano wciąż niezałataną lukę. Po raz pierwszy od czterech lat główną nagrodę za włamanie do Safari zdobył ktoś inny niż Charlie Miller.
Z kolei udany atak na IE8 przeprowadził Stephen Fewer, założyciel Harmony Security, który często znajduje luki i powiadamia o nich Zero Day Initiative.
Włamując się do Explorera Fewer ominął microsoftowy odpowiednik piaskownicy czyli tryb chroniony (Protected Mode). Eksperci z Vupena również chcieli zaatakować IE, ale Fewer ich ubiegł. Obecni na Pwn2Own członkowie Microsoft Security Response Center poinformowali, że dziura wykorzystana przez Fewera jest im znana i trwają prace nad jej załataniem.
Niezależnie od tego, czy producent programu wie o luce, czy też nie, informacje o wszystkich dziurach wykorzystanych podczas Pwn2Own są przesyłane do twórców oprogramowania, którzy mają pół roku na ich załatanie. Po tym terminie szczegóły dziur zostają upublicznione.
Organizatorzy Pwn2Own poinformowali, że pierwsze ataki na Firefoksa zostały przełożone na dzień dzisiejszy. Nie wiadomo, czy ktokolwiek zdecyduje się na atakowanie Chrome'a. Hakerzy, którzy wcześniej zgłaszali chęć zaatakowania przeglądarki Google'a nie pojawili się na zawodach. Decyzja taka mogła zostać spowodowana opublikowaniem przedwczoraj dużego zestawu łat, w ramach którego Google poprawił w swojej przeglądarce co najmniej 24 dziury.
Dzisiaj, oprócz ataków na Firefoksa, odbędą się próby łamania smartfonów z systemami iOS, Android, Windows Phone 7 oraz BlackBerry.
Komentarze (0)