IE, FireFox anebo Chrome? Kdo odolal profesionálním hackerum?

TippingPoint Digital Vaccine Laboratories pravidelně pořádají akce Pwn2Own, kde se různé bezpečnostní firmy anebo i jednotlivci snaží najít nějakou softwarovou slabinu. Prostě něco hacknout. Komu se to povede, a prozradí jak toho dosáhl, náleží odměna.

Pwn2Own 2013 byla zaměřený na internetové prohlížeče a některé pluginy k nim. Odborníci na bezpečnost měli před sebou vždy čerstvě nainstalovaný operační systém a prohlížeč se všemi dostupnými záplatami.

Aby do toho šli i ti nejlepší, tak byla na jednotlivé prohlížeče vyhlášena odměna. Například za hacknutí Google Chrome na W7 jste mohli získat 100K USD. IE 10 + W8 bylo za 100K USD, IE9 + W7 “jen” 75K USD. Firefox + W7 60K USD, Apple Safari na OS X ML 65K  USD. Pak se hackovali ještě pluginy v IE 9 na W7 Adobe Reader XI a Adobe Flash každý po 70K. Oracle Java byla nejlevnější za 20K USD.

No a jak proti profesionálům obstály?

Francouzská firma zaměřené na bezpečnost Vupen odrovnala jak FireFox tak i Internet Explorer. Což stroze komentovala na twittru:

“We’ve pwned Firefox using a use-after-free and a brand new technique to bypass ASLR/DEP on Win7 without the need of any ROP #Pwn2own”

a druhá zpráva: “We’ve pwned MS Surface Pro with two IE10 zero-days to achieve a full Windows 8 compromise with sandbox bypass #Pwn2own”

V případě Firefoxu se jednalo o volání paměti, která byla předtím uvolněna (user-after-free), díky čemuž mohli protlačit škodlivý kód. Přiznám se, že moc netuším co přesně udělali, protože mé IT znalosti tak daleko nesahají :)

V Internet Explorer objevili hned dvě bezpečnostní díry. Díky nimž se dokázali dostat do Microsoft Surface Pro tabletu. Odsud pak ovládli celé Windows 8.

Na Chrome si smlsla firma z Velké Británie MWR Labs.  Na svých stránkách se pochlubili oficiální tiskovou zprávou. Jsou tam zajímavé technické detaily. Pokud jste IT zdatnější tak doporučuji přečíst.

Zdroj

• Fail: Chrome, Firefox, and IE all crack during hacking competition

[poll id=”168″]