V druhý deň hackerskej súťaže Pwn2Own konajúcej sa vo Vancouveri počas bezpečnostnej konferencie CanSecWest 2015 bezpečnostní experti úspešne hackli v noci na dnes aj zvyšné dva webové prehliadače, Google Chrome a Apple Safari.
V súťaži Pwn2Own organizovanej bezpečnostnou divíziou ZDI spoločnosti HP sa hackovali ako zvyčajne plne aktualizované prehliadače Chrome, Internet Explorer 11 a Firefox na plne aktualizovanom 64-bitovom Windows 8.1, Safari na OS X Yosemite a tiež pluginy Adobe Flash a Adobe Reader bežiace na IE 11 pod 64-bitovým Windows 8.1.
Ako sme informovali v tomto článku, v prvý deň boli úspešne hacknuté Internet Explorer, Firefox, Adobe Flash a Reader.
Za hacknutie prehliadača respektíve pluginu sa považuje spustenie útočníkom zvoleného kódu len pri návšteve útočníkom podvrhnutej stránky bez akejkoľvek ďalšej súčinnosti užívateľa. Ak prehliadač beží v bezpečnostnom sandboxe, potrebné je spustiť kód mimo tohto sandboxu.
Využiť je potrebné len nové doteraz neznáme bezpečnostné chyby.
Za hacknutie Chrome bola vypísaná odmena 75 tisíc dolárov, IE 65 tisíc, Safari 50 tisíc, Firefoxu 30 tisíc a Readera a Flashu po 60 tisíc. Ak sú pri útoku získané systémové oprávnenia, odmenu sa zvyšuje o 25 tisíc dolárov.
Reportáž z druhého dňa súťaže (video: HP ZDI)
V druhý deň bezpečnostný expert JungHoon Lee s prezývkou lokihardt najskôr úspešne hackol Internet Explorer, za čo získal odmenu 65 tisíc. Následne úspešne hackol Chrome a pomocou dvoch chýb vo Windows ovládačoch získal systémové oprávnenia, čo mu vynieslo 100 tisíc. Keďže útok bol efektívny aj v beta verzii Chrome, získal špeciálnu odmenu 10 tisíc od Google.
Následne lokihardt hackol Safari na OS X a získal 50 tisíc dolárov, za všetky tri hacky spolu 225 tisíc dolárov.
Okrem lokihardta v druhý deň ešte predviedol úspešný hack ilxu1a, ktorý pokoril Firefox.
Bližšie detaily jednotlivých chýb je možné nájsť v popise organizátorov. Kompletné detaily chýb samozrejme zverejnené neboli a boli nahlásené tvorcom predmetných softvérov.
Celkovo účastníci v rámci Pwn2Own úspešne hackli závažným spôsobom všetky štyri prehliadače, v hackovaní ktorých sa súťažilo, plus oba pluginy. Na finančných odmenách si odniesli spolu 552.5 tisíc dolárov.
V hackerskej súťaži padol aj Chrome, jeden hacker zarobil 225 tisíc
Od: Emeric
|
Pridané:
20.3.2015 12:35
Haha to je možné. Alebo ich predali na čiernom trhu a teraz na nich ešte zarobili aj na súťaží, čiže maximálna produktivita a zároveň maximalizácia zisku :)
Blahoslav
Od reg.: TheHacker
|
Pridané:
21.3.2015 17:54
Stalo sa niekedy, ze by sa zorganizovala hackerska sutaz a vacsina programov nebola hacknuta? Inymi slovami, je milion znamych chyb, na sutazi jednu predvedieme, a hura dalej?
ze by az takto
Od: ferinho
|
Pridané:
22.3.2015 17:20
to je zvlastne s tymi vyhrami, to je podla coho? vyzera to akoby ponukali vyssiu vyhru za tazsie hacknutelny prehliadac, ale to mi moc nedava zmusel...