Pwn2Own 2010: دوی د کروم پرته هرڅه سرغړونه کوي

یوازې یو څوک ژوندي پاتې کیدی شي او پدې حالت کې دا د ګوګل سټار براوزر دی. آی فون ، صفاري ، اکسپلورر او حتی تاسیس شوي فایرفاکس د نړۍ د غوره هیکرانو په لاس کې پرته له کوم ستونزو څخه راوتلي چې په کاناډا کې هرکال لیدل کیږي ترڅو هڅه وکړي چې د شیبې خورا مشهور سیسټمونه له مینځه ویسي او خپلې امنیتي نیمګړتیاوې په ګوته کړي. په هرصورت ، دوی ندي توانیدلي چې د سخت "سانډبکس" حالت سرغړونه وکړي چې د کروم ساتنه کوي ، یو کولیسوس چې په سیارټ کې د غوره کمپیوټر کارپوهانو بریدونو سره مقاومت کړی.


په وینکوور کې د کینسیک ویسټ امنیت په نندارتون کې کلنۍ Pwn2Own سیالۍ د نړۍ غوره IT امنیت کارپوهانو لپاره مناسب چاپیریال چمتو کوي ترڅو د ګرمو ګیجټو او سافټویر ټولو ډولونو پروړاندې په بشپړ ځواک کې ښکیل شي. هرکال ، دوی د امنیت خنډونو مخنیوي اداره کوي چې د بیاکتنې لاندې سیسټمونه هڅه کوي چې مسلط کړي ، مګر یوازې یو څو یې د یوې ناکامۍ پرته د سیالۍ پای ته رسیدو وياړ لري.

لومړی د سقوط کولو لپاره د آپیل بریالی فون و ، وینسنزو Iozzo او رالف فیلیپ وینمن یوازې د 20 ثانیو ته اړتیا درلوده ترڅو د شیبې ترټولو مشهور وسیله احمقانه کړي. هیکرانو یوازې تلیفون ایستلی (پرته له جیلریک) د دوی لخوا رامینځته شوی سایټ ته ننوځي ، له کوم ځای څخه دوی د دوی سرورونو ته د ایس ډی ایس ډیټابیس (حتی حذف شوي هم) کاپي کړي. دوی ویلي چې د دې تشو څخه مخنیوي لپاره د آپیل لخوا هڅو سربیره ، "د لارې چې دوی د کوډ لاسلیک پلي کول خورا اسانه دي." دوی د دې استخباراتي مظاهرې لپاره 15.000،XNUMX won ډالر ګټلي او هرڅومره ژر چې د م appleو شرکت امنیتی مسئله حل کړي ، د لاسرسي جزئیات به یې څرګند شي.

چارلي ملر ، د خپلواک امنیت ارزونې اصلي امنیت شنونکی ، د سنو چیتے سره مکر بوک پرو کې سفاري هک کړی او هیڅ فزیکي لاسرسی نه لري ، چې 10,000،XNUMX $ ترلاسه کوي. دا زوړ پیښه سپي اداره کوي چې هر کال د آپیل ملکیت لرونکي وسیله ټوټه کړي. داسې بریښي چې هغه د نښې نبض نیولی دی. دا به شرکت ته زیان ونه رسوي چې هغه وګماري ترڅو وګوري چې یوځل او د ټولو لپاره دوی کولی شي په خپلو محصولاتو کې امنیتي نیمګړتیاوې پای ته ورسوي.

د خپلواک امنیت محقق پیټر وریګډین هیل د انټرنیټ اکسپلور 8 هک کولو لپاره ورته مقدار ګټلی ، کوم چې نور هیڅ څوک حیران نه کوي چې یوه نسخه او بله یې وګوري ، ځکه چې هغه د کوم کارپوه برید لاندې راغلی چې وړاندیز یې کوي. د IE8 هیک کولو لپاره وریګډین هیل ادعا کړې چې په څلور اړخیزه برید کې یې دوه زیان منونکي ګټه اخیستې چې ASLR (پته د ځای ترتیب ترتیب) او DEP (د ډیټا اعدام مخنیوی) ته مخه کړې ، کوم چې په براوزر کې د بریدونو مخه نیولو لپاره ډیزاین شوي. د نورو هڅو په څیر ، سیسټم جوړ شوی و کله چې براوزر یوه سایټ څخه لیدنه وکړه چې د کوډ کولو کوډ کوربه و. حکم هغه ته کمپیوټر ته حقوق ورکړل ، کوم چې هغه د ماشین کیلکولیټر په چلولو سره ښودلی.

فایرفوکس باید د نیلز چالاکۍ ته هم ګونډه وهلي وای ، د انګلستان د MWR انفارمیشن امنیت لپاره د تحقیق مشر ، چا چې د براوزر زیان منلو څخه 10,000،XNUMX made ډالر کړي چې مایکروسافټ په اسانه ساتي. نیلس وویل چې هغه د حافظې فساد زیانمنونکي ګټه پورته کړې او د موزیلا په پلي کولو کې یې د مسئلې په منلو سره باید ASLR او DEP هم مات کړي.

او په نهایت کې ، یوازینی څوک چې ولاړ پاتې دی کروم دی. تر دې دمه دا یوازینی براوزر دی چې ماته نه پاتې کیږي ، هغه څه چې دا دمخه د دې پیښې د 2009 کال نسخه کې ترلاسه کړې وه چې په کاناډا کې پیښیږي او دا هڅه کوي د برنامو زیان منونکي کاروونکو ته خبرداری ورکړي. "په کروم کې نیمګړتیاوې شتون لري ، مګر د دوی کارول خورا ګران دي. دوی د 'سانډ باکس' ماډل ډیزاین کړ ، چې ماتول یې خورا ستونزمن کار دی ، "مشهور هیکر چارلي ملر وویل ، چې پدې نسخه کې ماک بوک پرو کې د سفاري کنټرول ترلاسه کړی.

سرچینه: ناتوټو او سیګیو معلومات او ZDNet


د مقالې مینځپانګه زموږ د اصولو سره سمون لري ایډیټیک اخلاق. د غلطۍ راپور ورکولو لپاره کلیک وکړئ دلته.

لومړی د تبصره کولو لپاره وئ

خپله نظر پرېږدئ

ستاسو د بریښنا لیک پته به خپره نه شي. اړین برخو سره په نښه شوي دي *

*

*

  1. د معلوماتو لپاره مسؤل: میګیوانجل ګاتین
  2. د معلوماتو هدف: د سپیم کنټرول ، د نظر مدیریت.
  3. قانونیت: ستاسو رضایت
  4. د معلوماتو راټولول: معلومات به د قانوني مکلفیت پرته دریمې ډلې ته نه لیږدول کیږي.
  5. د معلوماتو ذخیره: ډیټابیس د Occentus شبکې (EU) لخوا کوربه شوی
  6. حقونه: په هر وخت کې تاسو کولی شئ خپل معلومات محدود ، له سره تنظیم او حذف کړئ.