|
生き続けることができるのはXNUMXつだけで、この場合はGoogleのスターブラウザです。 iPhone、Safari、Explorer、そして定評のあるFirefoxでさえ、カナダで毎年集まり、現在最も有名なシステムを破壊し、セキュリティ上の欠陥を指摘しようとする世界最高のハッカーの手に問題なく落ち込んでいます。 しかし、彼らは、地球上で最高のコンピューター専門家の攻撃に抵抗した巨像であるChromeを保護する非常に過酷なサンドボックスモードに違反することはできませんでした。 |
バンクーバーで開催されるCanSecWestセキュリティフェアで毎年開催されるPwn2Ownコンテストは、世界最高のITセキュリティ専門家があらゆる種類のホットなガジェットやソフトウェアに対して本格的に取り組むのに最適な環境を提供します。 毎年、彼らはレビュー中のシステムが課そうとしているセキュリティのハードルをなんとか回避していますが、XNUMXつの欠陥なしにコンテストの終わりに到達することを光栄に思っているのはほんのわずかです。
最初に落ちたのは成功したAppleiPhoneで、VincenzoIozzoとRalfPhilipp Weinmannは、現時点で最も要求の厳しいデバイスを馬鹿にするのに20秒しかかかりませんでした。 ハッカーは、iPhone(ジェイルブレイクなし)を以前に開発したサイトにのみ侵入させ、そこからSMSデータベース全体(削除されたものも含む)をサーバーにコピーしました。 彼らは、これらのギャップを防ぐためのAppleの努力にもかかわらず、「コード署名の実装方法は寛大すぎる」と述べました。 彼らはこのインテリジェンスデモンストレーションで15.000ドルを獲得し、アップル社がセキュリティバグを修正するとすぐに、アクセスの詳細が表示されます。
Independent SecurityEvaluatorsのプリンシパルセキュリティアナリストであるCharlieMillerは、SnowLeopardを使用して物理的にアクセスできないMacBookProでSafariをハッキングし、10,000ドルを獲得しました。 この古いイベント犬は、毎年Appleが所有するデバイスを破壊することに成功しています。 彼はブランドの鼓動をとったようです。 会社が彼を雇って、製品のセキュリティ上の欠陥を完全に終わらせることができるかどうかを確認することは害にはなりません。
独立したセキュリティ研究者のPeterVreugdenhilは、Internet Explorer 8のハッキングで同じ金額を獲得しました。これは、それを提案する専門家の攻撃に打たれたため、誰もが8つのエディションと別のエディションを見て驚くことはありません。 IEXNUMXをハッキングするために、Vreugdenhilは、ブラウザでの攻撃を阻止するために設計されたASLR(アドレス空間レイアウトのランダム化)とDEP(データ実行防止)をバイパスしたXNUMX部構成の攻撃でXNUMXつの脆弱性を悪用したと主張しました。 他の試みと同様に、ブラウザが悪意のあるコードをホストしているサイトにアクセスすると、システムが危険にさらされました。 判決は彼にコンピューターへの権利を与え、それは彼がマシンの計算機を実行することによって示した。
Firefoxはまた、MWR InfoSecurityの英国研究責任者であるNilsの狡猾さに屈服しなければなりませんでした。彼は、Microsoftを安心させているブラウザの脆弱性から10,000ドルを削減しました。 ニルス氏は、メモリ破損の脆弱性を悪用し、Mozillaの実装のバグのおかげでASLRとDEPを克服しなければならなかったと述べました。
そして最後に、立ったままになっているのはChromeだけです。 これまでのところ、これは無敗のまま残っている唯一のブラウザーであり、カナダで開催されるこのイベントの2009年版ですでに達成されており、プログラムの脆弱性についてユーザーに警告しようとしています。 「Chromeには欠陥がありますが、悪用するのは非常に困難です。 彼らは「サンドボックス」モデルを設計しましたが、これは壊すのが非常に困難です」と、このエディションでMacbookProのSafariを制御することに成功した有名なハッカーのCharlieMiller氏は述べています。
出典 Neoteo およびSegu-Infoおよび ZDNET