|
มีเพียงตัวเดียวเท่านั้นที่สามารถมีชีวิตอยู่ได้และในกรณีนี้มันเป็นเบราว์เซอร์ดาวของ Google iPhone, Safari, Explorer และแม้แต่ Firefox ที่เป็นที่ยอมรับก็ล้มหายตายจากไปโดยไม่มีปัญหาในมือของแฮกเกอร์ที่ดีที่สุดในโลกที่พบกันทุกปีในแคนาดาเพื่อพยายามทำลายระบบที่มีชื่อเสียงที่สุดในขณะนี้และชี้ให้เห็นข้อบกพร่องด้านความปลอดภัย อย่างไรก็ตามพวกเขาไม่สามารถละเมิดโหมด "แซนด์บ็อกซ์" ที่รุนแรงซึ่งปกป้อง Chrome ซึ่งเป็นยักษ์ใหญ่ที่ต่อต้านการโจมตีของผู้เชี่ยวชาญด้านคอมพิวเตอร์ที่ดีที่สุดในโลกได้ |
การประกวด Pwn2Own ประจำปีที่งานแสดงความปลอดภัย CanSecWest ในแวนคูเวอร์มอบสภาพแวดล้อมที่สมบูรณ์แบบสำหรับผู้เชี่ยวชาญด้านความปลอดภัยไอทีที่ดีที่สุดของโลกในการต่อสู้กับอุปกรณ์และซอฟต์แวร์ยอดนิยมทุกประเภท ปีแล้วปีเล่าพวกเขาจัดการเพื่อหลีกเลี่ยงอุปสรรคด้านความปลอดภัยที่ระบบที่อยู่ระหว่างการตรวจสอบพยายามกำหนด แต่มีเพียงไม่กี่คนเท่านั้นที่ได้รับเกียรติในการไปถึงจุดสิ้นสุดของการแข่งขันโดยไม่เกิดความล้มเหลวแม้แต่ครั้งเดียว
คนแรกที่ล้มคือ iPhone ของ Apple ที่ประสบความสำเร็จ Vincenzo Iozzo และ Ralf Philipp Weinmann ใช้เวลาเพียง 20 วินาทีในการสร้างอุปกรณ์ที่เป็นที่ต้องการมากที่สุดในขณะนี้ แฮกเกอร์ทำให้ iPhone เท่านั้น (โดยไม่ต้องเจลเบรค) เข้าสู่ไซต์ที่พวกเขาพัฒนาก่อนหน้านี้จากที่ที่พวกเขาคัดลอกฐานข้อมูล SMS ทั้งหมด (แม้กระทั่งที่ถูกลบไปแล้ว) ไปยังเซิร์ฟเวอร์ของพวกเขา พวกเขาระบุว่าแม้ว่า Apple จะพยายามป้องกันช่องว่างเหล่านี้ แต่ "วิธีที่พวกเขาใช้การเซ็นโค้ดนั้นผ่อนปรนมากเกินไป" พวกเขาได้รับรางวัล 15.000 ดอลลาร์สำหรับการสาธิตระบบอัจฉริยะนี้และทันทีที่ บริษัท แอปเปิลแก้ไขข้อบกพร่องด้านความปลอดภัยรายละเอียดของการเข้าถึงจะปรากฏขึ้น
Charlie Miller นักวิเคราะห์ความปลอดภัยหลักของผู้ประเมินความปลอดภัยอิสระได้จัดการแฮ็ก Safari บน MacBook Pro ที่มี Snow Leopard และไม่มีการเข้าถึงทางกายภาพโดยมีรายได้ 10,000 ดอลลาร์ สุนัขเหตุการณ์เก่าตัวนี้สามารถจับอุปกรณ์ที่ Apple เป็นเจ้าของได้ทุกปี ดูเหมือนว่าเขาจับชีพจรของแบรนด์ได้แล้ว คงไม่เจ็บที่ บริษัท จ้างเขาเพื่อดูว่าพวกเขาสามารถยุติข้อบกพร่องด้านความปลอดภัยในผลิตภัณฑ์ของตนได้หรือไม่
Peter Vreugdenhil นักวิจัยด้านความปลอดภัยอิสระได้รับรางวัลจำนวนเท่ากันสำหรับการแฮ็ก Internet Explorer 8 ซึ่งไม่ทำให้ทุกคนต้องประหลาดใจอีกต่อไปเมื่อได้เห็นฉบับหนึ่งและอีกฉบับหนึ่งเช่นกันในขณะที่เขาถูกโจมตีโดยการโจมตีของผู้เชี่ยวชาญที่เสนอ ในการแฮ็ก IE8 Vreugdenhil อ้างว่าได้ใช้ประโยชน์จากช่องโหว่สองช่องในการโจมตีสี่ส่วนที่ข้าม ASLR (Address Space Layout Randomization) และ DEP (Data Execution Prevention) ซึ่งออกแบบมาเพื่อช่วยหยุดการโจมตีในเบราว์เซอร์ เช่นเดียวกับความพยายามอื่น ๆ ระบบถูกบุกรุกเมื่อเบราว์เซอร์เยี่ยมชมไซต์ที่โฮสต์โค้ดที่เป็นอันตราย การพิจารณาคดีทำให้เขามีสิทธิ์ในคอมพิวเตอร์ซึ่งเขาแสดงให้เห็นโดยการเรียกใช้เครื่องคิดเลขของเครื่อง
Firefox ยังต้องงอเข่าตามไหวพริบของ Nils หัวหน้าฝ่ายวิจัยของ MWR InfoSecurity ของสหราชอาณาจักรซึ่งทำรายได้ 10,000 ดอลลาร์จากช่องโหว่ของเบราว์เซอร์ที่ทำให้ Microsoft สบายใจ Nils กล่าวว่าเขาใช้ประโยชน์จากช่องโหว่ความเสียหายของหน่วยความจำและต้องเอาชนะ ASLR และ DEP ด้วยข้อบกพร่องในการใช้งาน Mozilla
และในที่สุด Chrome เพียงหนึ่งเดียวที่ยังคงยืนหยัดอยู่ได้คือ Chrome จนถึงตอนนี้มันเป็นเบราว์เซอร์เดียวที่ยังคงไร้พ่ายซึ่งเป็นสิ่งที่เคยประสบความสำเร็จมาแล้วในช่วงปี 2009 ของเหตุการณ์นี้ที่เกิดขึ้นในแคนาดาและพยายามเตือนผู้ใช้ถึงช่องโหว่ของโปรแกรม “ มีข้อบกพร่องใน Chrome แต่ใช้ประโยชน์ได้ยากมาก พวกเขาออกแบบโมเดล 'แซนด์บ็อกซ์' ซึ่งยากต่อการทำลาย "Charlie Miller แฮ็กเกอร์ชื่อดังกล่าวซึ่งในฉบับนี้สามารถควบคุม Safari บน Macbook Pro ได้
Fuente: Neoteo และ Segu-Info และ ZDNET