neprihlásený Štvrtok, 12. decembra 2024, dnes má meniny Otília
V hackerskej súťaži padol aj Edge, najlepšie obstál Chrome. More chýb vo Windows a OS X

Značky: bezpečnosťwebový prehliadačChromeSafariWindowsOS X / macOS

DSL.sk, 18.3.2016


V druhý a záverečný deň tradičnej renomovanej hackerskej súťaže Pwn2Own zameranej na demonštráciu bezpečnostných zraniteľností vo webových prehliadačoch sa bezpečnostným expertom podarilo úspešne kompletne hacknúť počítač aj cez prehliadač Microsoft Edge a pokorené tak boli všetky tri prehliadače, ktoré boli terčom v rámci súťaže.

Počítače hackli cez Edge hneď dvaja experti respektíve tímy, JungHoon Lee a Tencent Security Team Sniper. Obidva využili aj ďalšie zraniteľnosti vo Windows a získali systémové oprávnenia a úplnú kontrolu nad hacknutým PC.

JungHoon Lee ako prvý, ktorému sa to podarilo, získal 85 tisíc dolárov, Tencent Security Team Sniper 52.5 tisíc.

V súťaži, ako každý rok konanej popri bezpečnostnej konferencii CanSecWest, experti sútažili v hackovaní Google Chrome a Microsoft Edge na Windows 10, Safari na OS X 10.11 El Capitan a Adobe Flashu pod Microsoft Edge. Prvý krát po rokoch sa nesúťažilo v hackovaní Firefoxu, čo organizátori zdôvodnili absenciou výraznejších bezpečnostných zlepšení vo Firefoxe za posledné obdobie.

Za hacknutie prehliadača respektíve pluginu sa na súťaži považuje spustenie útočníkom zvoleného kódu len pri návšteve útočníkom podvrhnutej stránky bez akejkoľvek ďalšej súčinnosti užívateľa. Ak prehliadač beží v bezpečnostnom sandboxe, potrebné je spustiť kód mimo tohto sandboxu. V súťaži použité chyby sa nahlasujú tvorcom produktov.


Víťaz bodovacej súťaže na Pwn2Own 2016, kliknite pre zväčšenie (foto: ZDI)



V prvý deň súťaže, ako sme informovali v tomto článku, bol dvakrát hacknutý Safari, dvakrát Flash a raz Chrome. V druhý deň sa k dvom úspešným pokusom voči Edge pridal jeden ďalší voči Safari, od Tencent Security Team Sniper.

Celkovo v bezpečnosti prehliadačov respektíve pluginov najlepšie dopadol Chrome, v ktorom experti využili len jednu chybu a tá navyše už bola Google známa. V Edge experti využili dve nové doteraz neznáme chyby, v Safari tri a vo Flashi štyri.

Aby získali systémové oprávnenia a extra odmenu 20 tisíc dolárov, využívať museli aj chyby v operačných systémoch. V OS X konkrétne počas súťaže využili päť nových bezpečnostných chýb, vo Windows až šesť.

Zároveň tento rok Windows bežal vo virtualizácii pod VMware Workstation a za prípadné dodatočné hacknutie virtualizácie a spustenie kódu na hostiteľskom operačnom systéme bola vypísaná dodatočná odmena 75 tisíc. Źiadny z expertov ale takýto útok nedemonštroval.

Celkovo experti vyhrali 460 tisíc dolárov, najviac JungHoon Lee, 145 tisíc dolárov. Jednotlivé ciele boli aj bodované a na body vyhral a nový titul Master of Pwn získal Tencent Security Team Sniper.


      Zdieľaj na Twitteri



Najnovšie články:

Zákazníci Orangu sa čoskoro nepripoja na TCP port 25, operátor ho začne blokovať
Celoštátne DVB-T uskutočnilo dve zmeny
Uvedený SSD pre PCI Express 5.0 s cenou 100 dolárov
Na Amazone sa začali predávať už aj nové autá
Telekom začne poskytovať pripojenie cez sieť popri vedeniach aj tretieho distribútora elektriny
Let’s Encrypt čoskoro prestane podporovať OCSP, prvé kroky začnú už v januári
Slovanet vo vianočnej akcii sprístupní takmer sto TV staníc
Prvý 5G modem od Apple v iPhone má mať slabšie parametre ako Qualcomm modemy
Arctic má nový výkonný ventilátor, chladí ho ďalším malým ventilátorom
Digi TV vo vianočnej akcii sprístupnila všetkým 9 staníc


Diskusia:
                               
 

Kalap dole pred takymi ludmi co vedia takto hladat chyby v softe.
Odpovedať Známka: 8.4 Hodnotiť:
 

no, ono najít chybu ve Windows, MAC či iOS není nic těžkého, jsou dlouhodobě nejnebezpečnější systémy na světě, ale v Androidu či Chrome, to je už skutečně oříšek
Odpovedať Známka: -8.4 Hodnotiť:
 

bez Firefoxu je ta sutaz onicom
Odpovedať Známka: -3.8 Hodnotiť:
 

A ty si už koľko chýb našiel? Keď je to také jednoduché?
A čo si urobil pre slovenský hip-hop?
Odpovedať Známka: 6.0 Hodnotiť:
 

podla mojho nazoru to jednoducho urcite nie je, inak by to nebolo tak dobre ohodnotene, vyzaduje to urcite vela predstavivosti a vynaliezavosti
Odpovedať Známka: 10.0 Hodnotiť:
 

a preco tam neni linux? koho zaujima windows a osx to viem aj bez nich ze su tam chyby :-D
Odpovedať Známka: 0.6 Hodnotiť:
 

SELinux spraví časť špinavej práce za teba...
Odpovedať Známka: 2.0 Hodnotiť:
 

ďakujme zaň NSA :D
Odpovedať Známka: 3.8 Hodnotiť:
 

linux je len software ktory pisu ludia, to by ti malo dat hint ci su tam bezpecnostne chyby - http://dopice.sk/gS2
Odpovedať Známka: 0.0 Hodnotiť:
 

hej lebo windows a osx pisu roboti ....
Odpovedať Známka: 7.1 Hodnotiť:
 

neuronove siete :P
Odpovedať Známka: 5.0 Hodnotiť:
 

Tu je pekne vidiet ze pre realnu blackhat elitu tieto sutaze uz nemaju ani zmysel ako PR.
Peniaze a biznis su davno inde.

Takato sarada ostala cinanom a korejcanom.
Odpovedať Známka: -2.7 Hodnotiť:
 

Uvítal by som nadpis v štýle "Vo Windowse je viac dier ako v nevestinci" :)
Odpovedať Známka: 8.8 Hodnotiť:
 

100 bodov :D
Odpovedať Známka: 6.7 Hodnotiť:
 

v nevestinci je 5 alebo menej dier?
Odpovedať Známka: -2.0 Hodnotiť:
 

Vsetci tu kecate o tom, ze kolko dier je vo windows, ale stavim sa, ze ste v zivote ziadnu nenasli. Dokonca by som sa stavil, ze ak by vam niekto dal nejaky popis zranitelnosti, tak nikto, kto tu ma plnu hubu kecov, by nedokazal napisat exploit, na jej zneuzitie. Ver tomu, ze tie mozgy, co boli na tej sutazi by dokazali dat dole aj Linux, Android, cokolvek. Pre tych ludi plati, ze nie je otazka, ci to ide, ale ci to chce spravit.
Odpovedať Známka: 6.0 Hodnotiť:
 

Pisete tu o Androide ako keby to bol nejaky problem najst v nom dieru, ved pomaly kazdy tyzden vychadza sprava, ze v nom bola objavena nova zranitelnost..
Odpovedať Známka: 5.4 Hodnotiť:
 

mne stačilo spraviť like hack na mrtvo.sk ... bola sranda niekomu nahrabať 500 dislikov a potom dotyčný nadával že mu to dal admin ako súčasť propagandy. Potom som to tam zverejnil verejne a používal ho každý až sa hodnotiaci systém stal bezpredmetný a vymenili ho za iný ktorý si už ukladal IP adresy :D
Odpovedať Známka: 3.3 Hodnotiť:
 

toto sa naucit musi byt pecka, ono sa to zda lahke s toolmi ktore sa dnes daju zohnat ale tie pracuju iba s dobre znamou chybou. ked tito chalani nasli nove chyby za den, nechcem vediet co by nasli keby na to mali viac casu. ako uz bolo povedane, klobuk dolu.
Odpovedať Známka: -3.3 Hodnotiť:
 

ty si myslis ze to hladali realtimovo za den :SDAAFDFGADGADGADGADGADDXDXDXDXDXXDXD
Odpovedať Známka: 8.3 Hodnotiť:
 

Pripravovali sa na to rok mozno aj dlhsie. Teraz to len aplikovali pred porotou
Odpovedať Známka: 10.0 Hodnotiť:
 

Ak si myslite ze nieco viete lepsie ako druhy tak vzdy sa najde 10 cinanov, ktory to vedia este lepsie
Odpovedať Známka: 10.0 Hodnotiť:
 

A čo ak existuje presvedčenie o vlastnej schopnosti nenájsť "10 cinanov, ktory to vedia este lepsie"?
Odpovedať Známka: 10.0 Hodnotiť:
 

Tak 10 cinanov bude este viac presvedcenych, ze sa nenajdu.
Odpovedať Hodnotiť:
 

potom preco pisu ze tam ide hlavne o hackovanie prehliadacov, ked tam ide skor o hladanie chyb v operacnych systemoch?
Odpovedať Známka: -10.0 Hodnotiť:
 

lebo chybu musia zneužiť cez prehliadač.
Odpovedať Známka: 10.0 Hodnotiť:
 

Preco nikto nespomenul, ze v Sniper teame bol aj Slovak ?
Odpovedať Hodnotiť:

Pridať komentár