SK

Pwn2Own 2010, deň prvý - browserom padali hlavy, iPhonu tiež

V tohtoročnej hackerskej súťaži Pwn2Own sa opäť hľadali diery v prehliadačoch - a opäť úspešne. Tento rok sa však na lavici porazených ocitol aj iPhone, a v ňom je diera ozaj poriadna.Každoročne organizovaná súťaž v nabúravaní počítačov prostredníctvom posledných verzií webových prehliadačov sa konala vo Vancouveri. Princíp je jednoduchý - pokiaľ účastník získa kontrolu nad vzdialeným počítačom, získa nielen mastnú sumu, ale aj notebook, ktorý hackol.

Už tradičný účastník a dvojnásobný pokoriteľ platformy Apple, Charlie Miller, sa aj tento rok postaral o hacknutie MacBook Pro s nainštalovaným najnovším MacOS X, využívajúc zatiaľ nezdokumentovanú chybu v Safari, pomocou ktorej sa mu podarilo vzdialene spustiť konzolu (terminál) a získať tak kontrolu nad počítačom. Miller pred dvoma rokmi ako prvý nabúral MacBook Air, minulý rok zase za 5 sekúnd položil na lopatky Safari. Tento rok si pripísal na konto 10000USD a nový MacBook Pro.

Ďalším úspešným pokoriteľom, pre zmenu Internet Exploreru 8, bol nezávislý bezpečnostný expert Peter Vreugdenhil z Holandska. Podarilo sa mu obísť zabezpečenie Windows, Data Execution Prevention, IE8, a získal tak plnú kontrolu nad vzdialeným PC. Za svoj počin si odniesol tiež 10000USD a notebook.

Ďalších 10000USD putovalo britskému bezpečnostnému výskumníkovi s menom Nils (priezvisko odmietol zverejniť). Ten na 64-bitovom Windows 7 využil chybu pamäte vo Firefoxe pre získanie kontroly nad PC. Nils tiež nie je nováčikom - minulý rok sa obohatil o 15 tisíc USD za svoje "kúsky" s IE8, Safari a Firefoxom.


(pokoritelia iPhone - Halvar Flake, ktorý zastupoval Iozza, a Ralf Weinmann)

O najväčší rozruch sa však postarala dvojica Ralf Weinmann a Vincenzo Iozzo, ktorí vymysleli veľmi zákerný útok na iPhone. Po návšteve infikovanej stránky sa totiž kompletná databáza SMS-ek v telefóne odošle na vzdialený server, a to vrátane vymazaných! Podľa autorov je však možné týmto exploitom dostať z telefónu akékoľvek dáta, či už fotky alebo kontakty, a užívateľ nemá ani potuchy, čo sa s jeho telefónom práve deje. Podarilo sa im obísť kontrolu podpisu kódu, ktorou sa overuje, že aplikácia bola od Apple.

Detaily väčšiny exploitov budú samozrejme k dispozícii pre tvorcov inkliminovaných browserov, v krátkej dobe sa zrejme dočkáme patchov, v prípade iPhone asi aj nový firmware. Charlie Miller však Apple svoje "tajomstvo" neprezradí - údajne sa jedná o tzv. weaponized exploit, ktorý vraj funguje za každých okolností. A údajne naň potreboval necelý týždeň.


Jediným, kto prežil prvý deň súťaže, je Google Chrome. Avšak, bol to len prvý deň, uvidíme, čo nás bude čakať.


Zdroj: bit-tech.net, news.cnet.com
Komentáre (10)
mano8
nice... som zvedavy ci prestrelia aj ten chrome..
skype3x3
sa mi strasne paci to "weaponized exploit" :D
M1ch4l
Opera nic? Ani zmienka? Nebodaj sa boja, ze by to nehackli? :D
Juri1990
Keď budem veľký, budem hacker :D
predatormx5
tito ludia urobia viac prace za tyzden, ako ti vyvojari co robia opravy pocas celeho roka :D, ale su fakt dobry, safari vydrzi len 5 sekund :PPP v appli mali radost : ), na ten chrome som aj ja zvedavy, kedze ho pouzivam od prvej bety : )
w3r1k
aj mna by zaujimalo preco neni o opere ani zmienka.
vacropoli
:D no super... podporujeme tých kôli ktorým musíme riešiť firewally a antivirusi a podobnu háveď drahú
C1cOo
podporuju to preto aby zistili ako sa to da obist a nasledne to zatrhli ty brain0r
lacikaboss
ty hackeri vyzeraju celkom normalne, ne ako sefredaktor pc revue :D
window
<p>Nike Toki ND Medium – Grey Blue Sapphire</p> <p>The <strong><a href="http://www.hijordan.com/air-jordan-1-c-1.html">nike jordan 1</a></strong> has been seeing plenty of action as of late, and just off the heels of the release of the black / volt colorway, <strong><a href="http://www.hijordan.com/air-jordan-4-c-4.html">nike jordan 4</a></strong> has released a new version to select accounts including 21 Mercer Street. This time around, the unique design sports a grey nubuck upper along with white and <strong><a href="http://www.hijordan.com/air-jordan-5-c-5.html">nike jordan 5</a></strong> blue accents, including the piping, shoe lacing holes, and midsole ribbing. How doe these compare to past colorways we’ve previewed?</p> <p>&nbsp;</p>
Add new comment
TOPlist