neprihlásený Streda, 4. decembra 2024, dnes má meniny Barbora
V hackerskej súťaži padol aj Chrome, jeden hacker zarobil 225 tisíc

Značky: bezpečnosťInternetwebový prehliadačChromeSafari

DSL.sk, 20.3.2015


V druhý deň hackerskej súťaže Pwn2Own konajúcej sa vo Vancouveri počas bezpečnostnej konferencie CanSecWest 2015 bezpečnostní experti úspešne hackli v noci na dnes aj zvyšné dva webové prehliadače, Google Chrome a Apple Safari.

V súťaži Pwn2Own organizovanej bezpečnostnou divíziou ZDI spoločnosti HP sa hackovali ako zvyčajne plne aktualizované prehliadače Chrome, Internet Explorer 11 a Firefox na plne aktualizovanom 64-bitovom Windows 8.1, Safari na OS X Yosemite a tiež pluginy Adobe Flash a Adobe Reader bežiace na IE 11 pod 64-bitovým Windows 8.1.

Ako sme informovali v tomto článku, v prvý deň boli úspešne hacknuté Internet Explorer, Firefox, Adobe Flash a Reader.

Za hacknutie prehliadača respektíve pluginu sa považuje spustenie útočníkom zvoleného kódu len pri návšteve útočníkom podvrhnutej stránky bez akejkoľvek ďalšej súčinnosti užívateľa. Ak prehliadač beží v bezpečnostnom sandboxe, potrebné je spustiť kód mimo tohto sandboxu.

Využiť je potrebné len nové doteraz neznáme bezpečnostné chyby.

Za hacknutie Chrome bola vypísaná odmena 75 tisíc dolárov, IE 65 tisíc, Safari 50 tisíc, Firefoxu 30 tisíc a Readera a Flashu po 60 tisíc. Ak sú pri útoku získané systémové oprávnenia, odmenu sa zvyšuje o 25 tisíc dolárov.


Reportáž z druhého dňa súťaže (video: HP ZDI)



V druhý deň bezpečnostný expert JungHoon Lee s prezývkou lokihardt najskôr úspešne hackol Internet Explorer, za čo získal odmenu 65 tisíc. Následne úspešne hackol Chrome a pomocou dvoch chýb vo Windows ovládačoch získal systémové oprávnenia, čo mu vynieslo 100 tisíc. Keďže útok bol efektívny aj v beta verzii Chrome, získal špeciálnu odmenu 10 tisíc od Google.

Následne lokihardt hackol Safari na OS X a získal 50 tisíc dolárov, za všetky tri hacky spolu 225 tisíc dolárov.

Okrem lokihardta v druhý deň ešte predviedol úspešný hack ilxu1a, ktorý pokoril Firefox.

Bližšie detaily jednotlivých chýb je možné nájsť v popise organizátorov. Kompletné detaily chýb samozrejme zverejnené neboli a boli nahlásené tvorcom predmetných softvérov.

Celkovo účastníci v rámci Pwn2Own úspešne hackli závažným spôsobom všetky štyri prehliadače, v hackovaní ktorých sa súťažilo, plus oba pluginy. Na finančných odmenách si odniesli spolu 552.5 tisíc dolárov.


      Zdieľaj na Twitteri



Najnovšie články:

Skylink preladil dôležité stanice
CEO Intelu bol donútený odstúpiť správnou radou
UPC vo vianočnej akcii sprístupní všetkým TV zákazníkom 42 staníc
Rast podielu Windows 11 sa zastavil
CEO Intelu odstúpil
mBank spustila podporu okamžitých platieb, zatiaľ ich iba prijíma
Sprístupnená testovacia verzia LibreOffice 25.2, začína ukončovať podporu Windows 7
Platené DVB-T zvýši od nového roka cenu
Oficiálne uvedený prvý WiFi router od OpenWrt
Raketa Falcon 9 dosiahla 400 úspešných štartov


Diskusia:
                               
 

kalap dolu :-)
Odpovedať Známka: 10.0 Hodnotiť:
 

konečne sa bezpečnosť všetkých hlavných prehliadačov vyrovnala... :(
Odpovedať Známka: 8.6 Hodnotiť:
 

za den 225 tisic, moze byt :)
Odpovedať Známka: 10.0 Hodnotiť:
 

co by si s tolkymi peniazmi robil? ;)
Odpovedať Známka: -5.6 Hodnotiť:
 

Ked musis polozit taku hlupu otazku, nezasluzis si ani to, co dostavas/zarabas.
Odpovedať Známka: 8.7 Hodnotiť:
 

Kúpil by som pozemok a postavil si barák + niečo odložil ....bože to je za otázka :D
Odpovedať Známka: 3.3 Hodnotiť:
 

bol by to malicky pozemok a skromny domcek... a nic by ti uz neostalo..
Odpovedať Známka: 3.3 Hodnotiť:
 

Nemusí byť každý debil a bývať v predraženej smetiarskej blave.
Odpovedať Známka: 2.0 Hodnotiť:
 

do herne na cervenu, bud mas fakt stastny den alebo si ich nemal ani vyhrat :D
Odpovedať Známka: 9.4 Hodnotiť:
 

Myslím, že z 225 tisíc sa dá spraviť uz celkom pekný pasívny príjem :)
Odpovedať Známka: 6.0 Hodnotiť:
 

za den to asi nebolo, vies kolko usilia musel vzlozit do studia ?
Odpovedať Známka: 10.0 Hodnotiť:
 

Borci
Odpovedať Známka: 10.0 Hodnotiť:
 

Nespomína sa - prečo?
Odpovedať Známka: -7.5 Hodnotiť:
 

Bezi na jadre co ma aj chrome cize hadaj.
Odpovedať Známka: 10.0 Hodnotiť:
 

Myslel si jadro Presto?
Odpovedať Známka: 8.0 Hodnotiť:
 

šupito presto
Odpovedať Známka: 7.5 Hodnotiť:
 

By som sa aj bal vyst na ulicu, s takymi schopnostami je mozne ze ta uz unesu agenti NSA alebo FSB alebo horsie.
Odpovedať Známka: 3.3 Hodnotiť:
 

Myslim, ze chlapik co dokaze bez problemov hacknut lubovolny prehliadac nema problem s financiami.
Odpovedať Známka: 10.0 Hodnotiť:
 

Redakcia prosim najdite chyby ake vyuzili. A mozno by bolo zaujimave vidiet aky kod pouzili na sutaziach pred rokov, tie uz budu zverejnene.
Odpovedať Známka: 5.0 Hodnotiť:
 

Pekne od nich, ze takto motivuju chlapcov nepredavat bezpecnostne chyby na ciernom trhu. Takychto sutazi by malo byt viac.
Odpovedať Známka: 10.0 Hodnotiť:
 

kazda z tych firiem ponuka odmenu aj pocas "bezneho" roku :]
Odpovedať Známka: 10.0 Hodnotiť:
 

to ze sa maju pouzit nezverejnene chyby este neznamena, ze ich nikto nepreda(va) na ciernom trhu
Odpovedať Známka: 10.0 Hodnotiť:
 

mozno ich aj chlapci kupili na ciernom trhu a teraz hraju frajerov na Pwn2Own :D
Odpovedať Známka: 9.0 Hodnotiť:
 

Haha to je možné. Alebo ich predali na čiernom trhu a teraz na nich ešte zarobili aj na súťaží, čiže maximálna produktivita a zároveň maximalizácia zisku :)
Odpovedať Známka: 8.8 Hodnotiť:
 

tusim na ciernom trhu to je osetrene ze ti platia postupne za tu vulnerabilitu pokial nieje zverejnena.
Odpovedať Známka: 10.0 Hodnotiť:
 

Stalo sa niekedy, ze by sa zorganizovala hackerska sutaz a vacsina programov nebola hacknuta? Inymi slovami, je milion znamych chyb, na sutazi jednu predvedieme, a hura dalej?
Odpovedať Známka: 10.0 Hodnotiť:
 

to je zvlastne s tymi vyhrami, to je podla coho? vyzera to akoby ponukali vyssiu vyhru za tazsie hacknutelny prehliadac, ale to mi moc nedava zmusel...
Odpovedať Známka: 3.3 Hodnotiť:

Pridať komentár