neprihlásený Piatok, 22. novembra 2024, dnes má meniny Cecília
Na hackerskej súťaži padli Firefox, Edge aj Safari ale nie Chrome, hackeri utiekli aj z VirtualBoxu

Značky: bezpečnosťFirefoxMicrosoft EdgeSafari

DSL.sk, 16.3.2018


V tradičnej renomovanej hackerskej súťaži Pwn2Own o relatívne vysoké finančné odmeny, ktorá sa uskutočnila v uplynulých dvoch dňoch popri bezpečnostnej konferencii CanSecWest vo Vancouveri, súťažiaci hackli tri zo štyroch prehliadačov a jeden virtualizačný produkt.

Na Pwn2Own súťažiaci bezpečnostní experti demonštrujú nimi samozrejme skôr objavené zraniteľnosti, pričom plné odmeny získavajú za demonštrovanie spustenia útočníkom zvoleného kódu štandardným spôsobom akým bývajú realizované útoky, napríklad po zobrazení podvrhnutej stránky v prehliadačoch.

Tento rok sa dalo hackovať až päť kategórií produktov a oproti minulému roku sa tak rozšíril okruh hackovateľných produktov, aj keď Linux z nich zase vypadol.

Napriek tomu bola súťaž ale chudobnejšia ako po minulé roky, keď Čína zakázala účasť tímov a expertov z tejto krajiny na podobných súťažiach. Práve čínske tímy ale v posledných rokoch na Pwn2Own demonštrovali najviac zraniteľností.

Súťažiaci sa tento rok pokúšali demonštrovať hacknutie celkom len štyroch rozdielnych produktov v dvoch kategóriách, prehliadačov Mozilla Firefox, Apple Safari, Microsoft Edge a virtualizačného riešenia VirtualBox. Všetky boli prekonané.


Richard Zhu pri neúspešnom pokuse hacknúť Apple Safari, kliknite pre zväčšenie (foto: Pwn2Own / ZDI)



Naopak nikto nedemonštroval zraniteľnosti v Google Chrome, ďalších klientských virtualizačných riešeniach VMware Workstation a Microsoft Hyper-V Client, v kancelárskych softvéroch Microsoft Office, Outlook, Adobe Reader, webových serveroch, knižniciach a implementáciách Apache, Nginx, OpenSSL, Windows SMB ani vo viacerých funkčnostiach testovacích verzií Windows 10 Insider.

To môže mať okrem neúčasti expertov z Číny potenciálne aj iné príčiny, napríklad čoraz vyššie odmeny ponúkané za zraniteľnosti priamo tvorcami softvérov, bezpečnostnými spoločnosťami využívajúcimi informácie na ochranu a tiež šedým a čiernym trhom vrátane niektorých bezpečnostných spoločností predávajúcich následne zraniteľnosti vládam a agentúram za účelom hackovania občanov alebo iných krajín.

Apple Safari hackli úspešne dvaja súťažiaci respektíve tímy a získali 65 a 55 tisíc dolárov, ďalšiemu sa to podarilo na štvrtý pokus ale pravidlá dovoľujú len tri. V dvoch prípadoch zároveň hackeri získali zvýšené oprávnenia a teda plnú kontrolu nad systémom. Ďalší súťažiaci mal neúspešný pokus ale tiež identifikoval funkčné zraniteľnosti v Safari.

Richard Zhu úspešne hackol Mozillu Firefox aj Microsoft Edge, v oboch prípadoch aj so zvýšením oprávnení a teda získaním plnej kontroly nad operačným systémom. Spolu získal 120 tisíc dolárov.

Poslednou z demonštrácií bol únik z virtualizačného riešenia VirtualBox a spustenie kódu v hostiteľskom OS po spustení kódu vo virtualizovanom OS. Niklasovi Baumstarkovi sa to podarilo, demonštrácia bola označená ale za čiastočnú a získal odmenu 27 tisíc dolárov z plných 35 tisíc. Dôvod prečo nezískal plnú odmenu nie je jasný.

Popri finančných odmenách sa udeľujú v jednotlivých kategóriách aj body a najviac ich získal Richard Zhu, ktorý tak získal ocenenie Master of Pwn.

Bližšie charakterizácie typu použitých zraniteľností je možné nájsť v oznámeniach organizátora súťaže, divízie ZDI, Zero Day Initiative, spoločnosti Trend Micro.


      Zdieľaj na Twitteri



Najnovšie články:

Nový trailer filmu Minecraft
Linux v ďalšej verzii vyradí súborový systém Reiser
Odštartovaná výroba flash pamäte s 321 vrstvami
Apple má prvýkrát použiť vlastný 5G modem v iPhone v marci
Linux dostáva podporu veľkokapacitných pamäťových SDUC kariet
USA požadujú, aby Google predal Chrome a potenciálne aj Android
ISS zvýšila orbitu, aby sa vyhla troskám zo satelitu
Vzniknú fyzické zábavné tematické Minecraft parky
Qualcomm chystá Snapdragon CPU pre lacnejšie PC, majú začínať na 600 dolárov
SpaceX nezachytávala prvý stupeň Starship kvôli problému na štartovacej veži


Diskusia:
                               
 

takze pri zakaze cinanov vyhral necinan Zhu?
Odpovedať Známka: 7.9 Hodnotiť:
 

Čína zakázala účasť. Nie výhru.
Odpovedať Známka: 8.1 Hodnotiť:
 

www.hackovanie.sk - skoda ze uz ta stranka nejde :) bolo to o háčkovaní a štrikovaní
Odpovedať Známka: 10.0 Hodnotiť:
 

asi ju hackli
Odpovedať Známka: 8.8 Hodnotiť:
 

Necinan Zhu taky "netypicky" ITak. Dobra vypracovana postava, dobry outfit, super uces. Prosto stara sa o seba 😀 Podla mna ani na WC nechodi, iba ma zavedeneho bazanta a raz za 3 dni mu ho chodi sestricka menit. A okuliare ? Jednoznacne ma sosovky
Odpovedať Hodnotiť:
 

Cinania nemozu chodit na tieto sutaze. Su malicki, vlezu do kompu obycajne cez USB porty alebo chladenie a to sa im to hackuje potom...
Odpovedať Známka: 9.1 Hodnotiť:
 

Dobre vravis! Odkedy striekam do notasa cez vetrak biolit,tak nemam problemi s cinskimi hakermi. Len mi s toho vzdicky oci chvilu slzia,ale aspon mi nekradnu procesor na tie kryplomeny a tak. Susedovi takto uz cely procesor ukradli,a musel na splatky novy od Kisku kupovat.
Odpovedať Známka: 9.1 Hodnotiť:
 

Gravitacny modry posun akukolvek hodnotu max priekazne marginalizuje.
Odpovedať Známka: 0.8 Hodnotiť:
 

ale rychlost svetla nie. :) iba jeho vlnovu dlzku.. ;)
Odpovedať Hodnotiť:
 

Dobre vravis! Odkedy striekam do notasa...

Vtedy som prestal čítať, ale musím uznať, že mi to nedalo a vrátil som sa to dočítať...
Odpovedať Známka: 8.1 Hodnotiť:
 

Ti dávam mínus,lebo moje z láskou písané komenty nečítaš na prvý krát. A to sa vždy tak na záchode snažím :(
Odpovedať Známka: 4.3 Hodnotiť:
 

Ja ti dávam mínus, lebo nie len u nás v DHL píšeme s láskou a nie z láskou....
Odpovedať Známka: 5.3 Hodnotiť:
 

že ty budeš z východu? pán bývalí premier vraveli že tam nič nie je,takže ani láska...
Odpovedať Známka: -1.2 Hodnotiť:
 

Pán - začiatok novej vety
bývalý - j.č.
Odpovedať Známka: 3.3 Hodnotiť:
 

A opera, co je podla mna najlepsim prehliadacom, neskusali ho?
Odpovedať Známka: 3.3 Hodnotiť:
 

asi nevedia že existuješ a teda nepoznaju tvoj nazor
Odpovedať Známka: 0.9 Hodnotiť:
 

Opera je uz cinska a tak ju Cinania zakazali hackovat :->
Odpovedať Známka: 0.9 Hodnotiť:
 

Opera je v podstate len nadstavba, core casti maju tie iste co Chrome.
Odpovedať Známka: 5.0 Hodnotiť:
 

nemate navod ako utiect z tohoto matrixu?
Odpovedať Známka: 8.7 Hodnotiť:
 

zomri...
Odpovedať Známka: 8.3 Hodnotiť:
 

Nevidim jediny rozumny dovod, preco by trebalo vyuzit zrovna postup, ulahcujuci agentom pracu, z coho uz je, kto ho navrhuje, priekazne evidentne.
Odpovedať Známka: 7.8 Hodnotiť:
 

ked zomriem tak sa nedostanem o uroven vyssie iba budem vymazany :C
Odpovedať Známka: 7.1 Hodnotiť:
 

Práveže sa dostaneš o niekoľko úrovní vyššie... Žiaľ, len dočasne, kým sa znovu neinkarnuješ do tejto pakárne...
Odpovedať Známka: 10.0 Hodnotiť:
 

Nijako, tak ako my nechceme aby nam behal po ulici winword.exe, tak admini Matrixu nechcu, aby si im behal po ulici juAhele.exe :))
Odpovedať Známka: 10.0 Hodnotiť:
 

Dojdi do Polusa, pokecame.
Odpovedať Známka: 5.0 Hodnotiť:
 

Nejeden expert mi potvrdil, že najbezpečnejší soft je na zariadeniach Apple. Treba si priplatiť za kvalitu.
Odpovedať Známka: -8.0 Hodnotiť:
 

Ved v nejakej oblasti to urcite staci. V nejakej staci i potvrdenie vacsiny. Zrovna tu je ale taka, ze staci ked vsetci.
Odpovedať Známka: 7.5 Hodnotiť:
 

Nejeden expert, si myslel že ani jeden expert? Potom by som veril tvojmu výroku.
Odpovedať Známka: 8.0 Hodnotiť:
 

SAFFARI JE NAJLEPSO
Odpovedať Známka: -7.5 Hodnotiť:
 

:) priplácaš akurát za animované smajle a ikony...
http://dopice.sk/l8X
Ale keď nič iné od operačného systému nepotrebuješ, s chuťou do toho ;)
Odpovedať Známka: 6.0 Hodnotiť:
 

Si retardovany kkt, o bezpecnosti ako o komplexnom celku nie je mozne hovorit v tak prijebanej vete ako si napisal, to nie je true / false, a ty s tym zijes ako svata pravda. Preto si retardovany chuj.
Odpovedať Známka: 10.0 Hodnotiť:
 

Je dokázané že činania sa nerodia ale sa spawnujú !
Odpovedať Známka: 3.3 Hodnotiť:
 

Truecrypt bol bez zadných dvierok tak ho kúpili :)
Odpovedať Hodnotiť:

Pridať komentár