IE, FireFox anebo Chrome? Kdo odolal profesionálním hackerum?

angry-bang-bang-bangTippingPoint Digital Vaccine Laboratories pravidelně pořádají akce Pwn2Own, kde se různé bezpečnostní firmy anebo i jednotlivci snaží najít nějakou softwarovou slabinu. Prostě něco hacknout. Komu se to povede, a prozradí jak toho dosáhl, náleží odměna.

Pwn2Own 2013 byla zaměřený na internetové prohlížeče a některé pluginy k nim. Odborníci na bezpečnost měli před sebou vždy čerstvě nainstalovaný operační systém a prohlížeč se všemi dostupnými záplatami.

Aby do toho šli i ti nejlepší, tak byla na jednotlivé prohlížeče vyhlášena odměna. Například za hacknutí Google Chrome na W7 jste mohli získat 100K USD. IE 10 + W8 bylo za 100K USD, IE9 + W7 „jen“ 75K USD. Firefox + W7 60K USD, Apple Safari na OS X ML 65K  USD. Pak se hackovali ještě pluginy v IE 9 na W7 Adobe Reader XI a Adobe Flash každý po 70K. Oracle Java byla nejlevnější za 20K USD.

No a jak proti profesionálům obstály?

Francouzská firma zaměřené na bezpečnost Vupen odrovnala jak FireFox tak i Internet Explorer. Což stroze komentovala na twittru:

„We’ve pwned Firefox using a use-after-free and a brand new technique to bypass ASLR/DEP on Win7 without the need of any ROP #Pwn2own“

a druhá zpráva: „We’ve pwned MS Surface Pro with two IE10 zero-days to achieve a full Windows 8 compromise with sandbox bypass #Pwn2own“

V případě Firefoxu se jednalo o volání paměti, která byla předtím uvolněna (user-after-free), díky čemuž mohli protlačit škodlivý kód. Přiznám se, že moc netuším co přesně udělali, protože mé IT znalosti tak daleko nesahají :)

V Internet Explorer objevili hned dvě bezpečnostní díry. Díky nimž se dokázali dostat do Microsoft Surface Pro tabletu. Odsud pak ovládli celé Windows 8.

Na Chrome si smlsla firma z Velké Británie MWR Labs.  Na svých stránkách se pochlubili oficiální tiskovou zprávou. Jsou tam zajímavé technické detaily. Pokud jste IT zdatnější tak doporučuji přečíst.

Zdroj

[poll id=“168″]

Share Button
(0)(0)

Jak bude reklama vypadat?
-
Kup si reklamu navždy pod tímto článkem jen za 100 Kč
Zobrazit formulář pro nákup

Další články k tématu

3 komentáře

  1. Pter napsal:

    Nemělo, na to jsou desítky přesně cílených webů/portálů/blogů. Pokud to někoho zajímá, ať si odskočí tam. Jen domény a weby.

    (0)
  2. DJ napsal:

    Já být z Google, tak ty koumáky hned čapnu a zaměstnám;-)

    (0)
  3. Me napsal:

    DJ: na to by se ti pěkně vysrali, přečti si něco o vupenu, jednou už na podobné akci odmítli zveřejnit postup, protože jim google nabízel jen pár desítek tisíc dolarů, oni ty exploity prodávají vládám za úplně jiný peníze a dokonce se tím ani netají.

    (0)