V hackerskej súťaži padol aj Edge, najlepšie obstál Chrome. More chýb vo Windows a OS X

Značky: bezpečnosťwebový prehliadačChromeSafariWindowsOS X / macOS

DSL.sk, 18.3.2016

V druhý a záverečný deň tradičnej renomovanej hackerskej súťaže Pwn2Own zameranej na demonštráciu bezpečnostných zraniteľností vo webových prehliadačoch sa bezpečnostným expertom podarilo úspešne kompletne hacknúť počítač aj cez prehliadač Microsoft Edge a pokorené tak boli všetky tri prehliadače, ktoré boli terčom v rámci súťaže.

Počítače hackli cez Edge hneď dvaja experti respektíve tímy, JungHoon Lee a Tencent Security Team Sniper. Obidva využili aj ďalšie zraniteľnosti vo Windows a získali systémové oprávnenia a úplnú kontrolu nad hacknutým PC.

JungHoon Lee ako prvý, ktorému sa to podarilo, získal 85 tisíc dolárov, Tencent Security Team Sniper 52.5 tisíc.

V súťaži, ako každý rok konanej popri bezpečnostnej konferencii CanSecWest, experti sútažili v hackovaní Google Chrome a Microsoft Edge na Windows 10, Safari na OS X 10.11 El Capitan a Adobe Flashu pod Microsoft Edge. Prvý krát po rokoch sa nesúťažilo v hackovaní Firefoxu, čo organizátori zdôvodnili absenciou výraznejších bezpečnostných zlepšení vo Firefoxe za posledné obdobie.

Za hacknutie prehliadača respektíve pluginu sa na súťaži považuje spustenie útočníkom zvoleného kódu len pri návšteve útočníkom podvrhnutej stránky bez akejkoľvek ďalšej súčinnosti užívateľa. Ak prehliadač beží v bezpečnostnom sandboxe, potrebné je spustiť kód mimo tohto sandboxu. V súťaži použité chyby sa nahlasujú tvorcom produktov.

Víťaz bodovacej súťaže na Pwn2Own 2016, kliknite pre zväčšenie (foto: ZDI)

V prvý deň súťaže, ako sme informovali v tomto článku, bol dvakrát hacknutý Safari, dvakrát Flash a raz Chrome. V druhý deň sa k dvom úspešným pokusom voči Edge pridal jeden ďalší voči Safari, od Tencent Security Team Sniper.

Celkovo v bezpečnosti prehliadačov respektíve pluginov najlepšie dopadol Chrome, v ktorom experti využili len jednu chybu a tá navyše už bola Google známa. V Edge experti využili dve nové doteraz neznáme chyby, v Safari tri a vo Flashi štyri.

Aby získali systémové oprávnenia a extra odmenu 20 tisíc dolárov, využívať museli aj chyby v operačných systémoch. V OS X konkrétne počas súťaže využili päť nových bezpečnostných chýb, vo Windows až šesť.

Zároveň tento rok Windows bežal vo virtualizácii pod VMware Workstation a za prípadné dodatočné hacknutie virtualizácie a spustenie kódu na hostiteľskom operačnom systéme bola vypísaná dodatočná odmena 75 tisíc. Źiadny z expertov ale takýto útok nedemonštroval.

Celkovo experti vyhrali 460 tisíc dolárov, najviac JungHoon Lee, 145 tisíc dolárov. Jednotlivé ciele boli aj bodované a na body vyhral a nový titul Master of Pwn získal Tencent Security Team Sniper.




Najnovšie články:



Diskusia:

titulok Od: vrtak_das_osmicka | Pridané: 18.3.2016 9:48 Kalap dole pred takymi ludmi co vedia takto hladat chyby v softe. Odpovedať Známka: 8.4 Hodnotiť:

Re: titulok Od: jenja | Pridané: 18.3.2016 10:49 no, ono najít chybu ve Windows, MAC či iOS není nic těžkého, jsou dlouhodobě nejnebezpečnější systémy na světě, ale v Androidu či Chrome, to je už skutečně oříšek Odpovedať Známka: -8.4 Hodnotiť:

Re: titulok Od reg.: raketa | Pridané: 18.3.2016 13:38 bez Firefoxu je ta sutaz onicom Odpovedať Známka: -3.8 Hodnotiť:

Re: titulok Od: Yorick_ | Pridané: 18.3.2016 15:16 A ty si už koľko chýb našiel? Keď je to také jednoduché? A čo si urobil pre slovenský hip-hop? Odpovedať Známka: 6.0 Hodnotiť:

Re: titulok Od: huangg | Pridané: 18.3.2016 16:33 podla mojho nazoru to jednoducho urcite nie je, inak by to nebolo tak dobre ohodnotene, vyzaduje to urcite vela predstavivosti a vynaliezavosti Odpovedať Známka: 10.0 Hodnotiť:

Linux Od: Maros852 | Pridané: 18.3.2016 9:49 a preco tam neni linux? koho zaujima windows a osx to viem aj bez nich ze su tam chyby :-D Odpovedať Známka: 0.6 Hodnotiť:

Re: Linux Od reg.: Trolitel | Pridané: 18.3.2016 10:27 SELinux spraví časť špinavej práce za teba... Odpovedať Známka: 2.0 Hodnotiť:

Re: Linux Od reg.: Trolitel | Pridané: 18.3.2016 10:27 ďakujme zaň NSA :D Odpovedať Známka: 3.8 Hodnotiť:

Re: Linux Od: _xxx | Pridané: 18.3.2016 10:44 linux je len software ktory pisu ludia, to by ti malo dat hint ci su tam bezpecnostne chyby - http://dopice.sk/gS2 Odpovedať Známka: 0.0 Hodnotiť:

Re: Linux Od: Maros852 | Pridané: 18.3.2016 11:51 hej lebo windows a osx pisu roboti .... Odpovedať Známka: 7.1 Hodnotiť:

Re: Linux Od: huangg | Pridané: 18.3.2016 16:34 neuronove siete :P Odpovedať Známka: 5.0 Hodnotiť:

Sarada Od: agdag | Pridané: 18.3.2016 9:53 Tu je pekne vidiet ze pre realnu blackhat elitu tieto sutaze uz nemaju ani zmysel ako PR. Peniaze a biznis su davno inde. Takato sarada ostala cinanom a korejcanom. Odpovedať Známka: -2.7 Hodnotiť:

Good morning Od: Norcok | Pridané: 18.3.2016 12:31 Uvítal by som nadpis v štýle "Vo Windowse je viac dier ako v nevestinci" :) Odpovedať Známka: 8.8 Hodnotiť:

Re: Good morning Od: xsxsxs | Pridané: 18.3.2016 12:54 100 bodov :D Odpovedať Známka: 6.7 Hodnotiť:

Re: Good morning Od: adfjadfmklôadfs | Pridané: 18.3.2016 13:54 v nevestinci je 5 alebo menej dier? Odpovedať Známka: -2.0 Hodnotiť:

deravy windows Od: Michal Sevcek | Pridané: 18.3.2016 13:00 Vsetci tu kecate o tom, ze kolko dier je vo windows, ale stavim sa, ze ste v zivote ziadnu nenasli. Dokonca by som sa stavil, ze ak by vam niekto dal nejaky popis zranitelnosti, tak nikto, kto tu ma plnu hubu kecov, by nedokazal napisat exploit, na jej zneuzitie. Ver tomu, ze tie mozgy, co boli na tej sutazi by dokazali dat dole aj Linux, Android, cokolvek. Pre tych ludi plati, ze nie je otazka, ci to ide, ale ci to chce spravit. Odpovedať Známka: 6.0 Hodnotiť:

Re: deravy windows Od reg.: DanoL91 | Pridané: 18.3.2016 13:55 Pisete tu o Androide ako keby to bol nejaky problem najst v nom dieru, ved pomaly kazdy tyzden vychadza sprava, ze v nom bola objavena nova zranitelnost.. Odpovedať Známka: 5.4 Hodnotiť:

Re: deravy windows Od reg.: Trolitel | Pridané: 18.3.2016 16:53 mne stačilo spraviť like hack na mrtvo.sk ... bola sranda niekomu nahrabať 500 dislikov a potom dotyčný nadával že mu to dal admin ako súčasť propagandy. Potom som to tam zverejnil verejne a používal ho každý až sa hodnotiaci systém stal bezpredmetný a vymenili ho za iný ktorý si už ukladal IP adresy :D Odpovedať Známka: 3.3 Hodnotiť:

respekt Od: horbi | Pridané: 18.3.2016 13:32 toto sa naucit musi byt pecka, ono sa to zda lahke s toolmi ktore sa dnes daju zohnat ale tie pracuju iba s dobre znamou chybou. ked tito chalani nasli nove chyby za den, nechcem vediet co by nasli keby na to mali viac casu. ako uz bolo povedane, klobuk dolu. Odpovedať Známka: -3.3 Hodnotiť:

Re: respekt Od: adgadg | Pridané: 18.3.2016 13:40 ty si myslis ze to hladali realtimovo za den :SDAAFDFGADGADGADGADGADDXDXDXDXDXXDXD Odpovedať Známka: 8.3 Hodnotiť:

Re: respekt Od: nbvfs | Pridané: 18.3.2016 14:23 Pripravovali sa na to rok mozno aj dlhsie. Teraz to len aplikovali pred porotou Odpovedať Známka: 10.0 Hodnotiť:

...... Od: 1337 | Pridané: 18.3.2016 14:56 Ak si myslite ze nieco viete lepsie ako druhy tak vzdy sa najde 10 cinanov, ktory to vedia este lepsie Odpovedať Známka: 10.0 Hodnotiť:

Re: ...... Od: syntaxterrorX | Pridané: 18.3.2016 15:10 A čo ak existuje presvedčenie o vlastnej schopnosti nenájsť "10 cinanov, ktory to vedia este lepsie"? Odpovedať Známka: 10.0 Hodnotiť:

Re: ...... Od reg.: TheHacker | Pridané: 22.3.2016 18:47 Tak 10 cinanov bude este viac presvedcenych, ze sa nenajdu. Odpovedať Hodnotiť:

hackovanie Od: osdapsd | Pridané: 18.3.2016 16:44 potom preco pisu ze tam ide hlavne o hackovanie prehliadacov, ked tam ide skor o hladanie chyb v operacnych systemoch? Odpovedať Známka: -10.0 Hodnotiť:

Re: hackovanie Od reg.: Trolitel | Pridané: 18.3.2016 17:10 lebo chybu musia zneužiť cez prehliadač. Odpovedať Známka: 10.0 Hodnotiť:

Sniper Od: Nikt0 | Pridané: 20.3.2016 16:28 Preco nikto nespomenul, ze v Sniper teame bol aj Slovak ? Odpovedať Hodnotiť:

Pridať komentár