Pwn2Own 2010: aranjeunna ngalanggar sadayana kecuali Chrome

Ngan hiji anu tiasa tetep hirup sareng dina hal ieu parantos dijelajah bintang Google. iPhone, Safari, Explorer sareng bahkan Firefox anu didirikeun parantos murag tanpa masalah di tangan peretas pangalusna di dunya anu pendak unggal taun di Kanada nyobian ngancurkeun sistem anu paling terkenal di jaman ayeuna sareng nunjukkeun cacat kaamananna. Tapi, aranjeunna henteu sanggup ngalanggar modeu "kotak pasir" kasar anu ngalindungan Chrome, kolosus anu parantos nolak serangan para ahli komputer pangsaéna di planét.


Kontes taunan Pwn2Own di pameran kaamanan CanSecWest di Vancouver nyayogikeun lingkungan anu sampurna pikeun ahli kaamanan IT pangsaéna sadunya pikeun aktipitas ngalawan sagala rupa gadget panas sareng parangkat lunak. Taun demi taun, aranjeunna ngatur pikeun ngahalangan halangan kaamanan yén sistem anu ditinjau nyobian maksakeun, tapi ngan sakedik anu gaduh kahormatan ngahontal tungtung kontes tanpa gagal tunggal.

Anu mimiti murag nyaéta Apple iPhone anu suksés, Vincenzo Iozzo sareng Ralf Philipp Weinmann ngan ukur peryogi 20 detik kanggo ngadamel bodo tina alat anu paling dituntut saat ieu. Peretas ngan ukur ngajantenkeun iPhone (tanpa jailbreak) lebet kana situs anu sateuacanna dikembangkeun ku aranjeunna, ti mana aranjeunna nyalin sakabéh database SMS (bahkan anu dihapus) kana sérverna. Aranjeunna nyatakeun yén sanaos upaya Apple pikeun nyegah sela-sela ieu, "cara ngalaksanakeun panandatanganan kode teuing enteng." Aranjeunna kéngingkeun $ 15.000 pikeun démo kecerdasan ieu sareng pas perusahaan apel ngalereskeun bug kaamanan, detil aksésna bakal ditayangkeun.

Charlie Miller, Analis Kaamanan Pokok di Independent Security Evaluators, berhasil meretas Safari dina MacBook Pro sareng Snow Leopard sareng henteu aksés fisik, ngasilkeun $ 10,000. Anjing kajadian lami ieu tiasa nyéépkeun alat anu dipimilik ku Apple unggal taun. Sigana mah anjeunna parantos nyandak pulsa merek. Éta moal nganyenyeriikeun perusahaan pikeun nyéwa anjeunna pikeun ningali naha sakali sareng aranjeunna ngatur pikeun ngeureunkeun cacat kaamanan dina produkna.

Panaliti kaamanan mandiri Peter Vreugdenhil meunang jumlah anu sami pikeun peretasan Internet Explorer 8, anu henteu deui ngareuwaskeun saha waé pikeun ningali hiji édisi sareng anu sanés ogé, sabab anjeunna ditarajang ku serangan para ahli anu ngusulkeunana. Pikeun ngaretas IE8 Vreugdenhil ngaku ngeksploitasi dua kerentanan dina serangan opat bagian anu ngalangkungan ASLR (Address Space Layout Randomization) sareng DEP (Pencegahan Eksekusi Data), anu didesain pikeun ngabantosan serangan dina peramban. Saperti dina usaha anu sanés, sistem éta dikompromikeun nalika pangotéktak nganjang ka situs anu nampi kode jahat. Kaputusan éta masihan anjeunna hak kana komputer, anu anjeunna nunjukkeun ku ngajalankeun kalkulator mesin éta.

Firefox ogé kedah ngabengkokkeun tuur kana licik Nils, kapala panilitian Inggris pikeun MWR InfoSecurity, anu ngahasilkeun $ 10,000 tina kerentanan browser anu ngajaga Microsoft tetep gampang. Nils nyarios yén anjeunna ngeksploitasi kerentanan memori sareng ogé kedah ngungkulan ASLR sareng DEP berkat bug dina palaksanaan Mozilla.

Sareng pamustunganana, hiji-hijina anu tetep nangtung nyaéta Chrome. Sajauh ieu mangrupikeun hiji-hijina browser anu tetep teu éléh, hiji hal anu parantos kahontal nalika édisi 2009 tina acara ieu anu lumangsung di Kanada sareng anu ngusahakeun ngingetkeun pangguna ngeunaan kerentanan program. "Aya kalemahan dina Chrome, tapi hésé pisan dieksploitasi. Aranjeunna ngarancang modél 'kotak pasir', anu sesah pisan dipecahna, "saur Charlie Miller, hacker anu kawéntar, anu dina édisi ieu berhasil ngadalikeun Safari dina Macbook Pro.

sumber: arg sareng Segu-Info sareng ZDNET


Eusi tulisan taat kana prinsip urang tina étika éditorial. Pikeun ngalaporkeun kasalahan klik di dieu.

Janten kahiji komen

Ninggalkeun koméntar anjeun

email alamat anjeun moal diterbitkeun. Widang diperlukeun téh ditandaan ku *

*

*

  1. Jawab data: Miguel Ángel Gatón
  2. Tujuan tina data: Kontrol SPAM, manajemén koméntar.
  3. Legitimasi: idin anjeun
  4. Komunikasi data: Data moal dikomunikasikan ka pihak katilu kacuali ku kawajiban hukum.
  5. Panyimpenan data: Basis data anu diayakeun ku Occentus Networks (EU)
  6. Hak: Iraha waé anjeun tiasa ngawatesan, cageur sareng mupus inpormasi anjeun.