Pwn2Own 2010: nilalabag nila ang lahat maliban sa Chrome

Isa lamang ang maaaring manatiling buhay at sa kasong ito ito ay naging browser ng bituin ng Google. Ang iPhone, Safari, Explorer at kahit na ang itinatag na Firefox ay nahulog nang walang mga problema sa kamay ng mga pinakamahusay na hacker sa mundo na nakikipagtagpo taun-taon sa Canada upang subukang sirain ang pinakatanyag na mga sistema ng sandali at ituro ang kanilang mga bahid sa seguridad. Gayunpaman, hindi nila nagawang labagin ang masakit na mode na "sandbox" na nagpoprotekta sa Chrome, isang colossus na lumaban sa mga pag-atake ng pinakamahusay na mga dalubhasa sa computer sa planeta.


Ang taunang paligsahan sa Pwn2Own sa CanSecWest security fair sa Vancouver ay nagbibigay ng perpektong kapaligiran para sa pinakamahusay na mga dalubhasa sa IT security sa buong mundo na makisali sa laban sa lahat ng uri ng maiinit na mga gadget at software. Taon bawat taon, pinamamahalaan nila ang mga hadlang sa seguridad na tinatangkang ipataw ng mga sistemang sinusuri, ngunit iilan lamang ang may karangalan na maabot ang pagtatapos ng paligsahan nang walang isang kabiguan.

Ang unang nahulog ay ang matagumpay na Apple iPhone, kinailangan lamang nina Vincenzo Iozzo at Ralf Philipp Weinmann ng 20 segundo upang lokohin ang pinakahihiling na aparato sa ngayon. Ginawa lamang ng mga hacker ang iPhone (nang walang jailbreak) na ipasok ang isang site na dati nilang binuo, mula sa kinopya nila ang buong database ng SMS (kahit na ang mga tinanggal) sa kanilang mga server. Sinabi nila na sa kabila ng pagsisikap ng Apple na pigilan ang mga puwang na ito, "ang paraan ng kanilang pagpapatupad ng pag-sign ng code ay masyadong mapagbigay." Nanalo sila ng $ 15.000 para sa demonstrasyong ito ng katalinuhan at sa lalong madaling maayos ng kumpanya ng mansanas ang security bug, ipapakita ang mga detalye ng pag-access.

Si Charlie Miller, Principal Security Analyst sa Independent Security Evaluators, ay nagawang i-hack ang Safari sa isang MacBook Pro kasama si Snow Leopard at walang pisikal na pag-access, kumita ng $ 10,000. Ang lumang kaganapang aso na ito ay namamahala sa isang aparato na pag-aari ng Apple bawat taon. Mukhang kinuha niya ang pulso ng tatak. Hindi nasasaktan para sa kumpanya na kunin siya upang makita kung minsan at para sa lahat maaari nilang wakasan ang mga bahid sa seguridad sa kanilang mga produkto.

Ang independiyenteng tagapagpananaliksik sa seguridad na si Peter Vreugdenhil ay nanalo ng parehong halaga para sa pag-hack ng Internet Explorer 8, na hindi na sorpresa kahit kanino na makita ang isang edisyon at isa pa, dahil nasaktan siya ng mga pag-atake ng sinumang dalubhasa na nagmumungkahi nito. Upang i-hack ang IE8 Vreugdenhil ay inaangkin na pinagsamantalahan ang dalawang kahinaan sa isang apat na bahagi na pag-atake na na-bypass ang ASLR (Address Space Layout Randomization) at DEP (Data Execut Prevent), na idinisenyo upang matulungan na ihinto ang mga pag-atake sa browser. Tulad ng sa iba pang mga pagtatangka, nakompromiso ang system nang bumisita ang browser sa isang site na nagho-host ng nakakahamak na code. Ang desisyon ay nagbigay sa kanya ng mga karapatan sa computer, na ipinakita niya sa pamamagitan ng pagpapatakbo ng calculator ng makina.

Kinailangan ding yumuko ng Firefox ang tuhod sa tuso ng Nils, pinuno ng pananaliksik ng UK para sa MWR InfoSecurity, na kumita ng $ 10,000 mula sa kahinaan ng browser na pinapanatili ang Microsoft sa madali. Sinabi ni Nils na pinagsamantalahan niya ang isang kahinaan sa memorya ng katiwalian at kailangan ding mapagtagumpayan ang ASLR at DEP salamat sa isang bug sa pagpapatupad ng Mozilla.

At sa wakas, ang nag-iisa lamang na nanatiling nakatayo ay ang Chrome. Sa ngayon ito ay ang nag-iisang browser na mananatiling walang talo, isang bagay na nakamit na nito noong 2009 na edisyon ng kaganapang ito na naganap sa Canada at na naglalayong bigyan babalaan ang mga gumagamit ng mga kahinaan ng mga programa. "Mayroong mga bahid sa Chrome, ngunit napakahirap nilang samantalahin. Nagdisenyo sila ng isang modelo ng 'sandbox' (sandbox), na napakahirap masira, "sabi ni Charlie Miller, ang sikat na hacker, na sa edisyong ito ay pinamahalaan ang Safari sa isang Macbook Pro.

Fuente: Neoteo at Segu-Info at ZDNET


Maging una sa komento

Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.