Pwn2Own 2011: IE i Safari pokonane
Polecamy
- Mozilla szykuje się do Pwn2Own - Firefox załatany
- Tryumfator Pwn2Own ostro krytykuje hakerski konkurs
- Złam zabezpieczenia - zgarnij 100 tys. dolarów
- Pwn2Own - IE8 i iPhone padną pierwszego dnia?
Zobacz także - poprzednie edycje Pwn2Own:
Zarówno w przypadku Safari, jak i IE, skuteczny atak udało się przeprowadzić już pierwszym uczestnikom, którzy przystąpili do łamania zabezpieczeń przeglądarek. Do przeglądarki Apple'a włamali się specjaliści z francuskiej firmy Vupen - za swój wyczyn otrzymali 15 tys. USD nagrody oraz komputer, na którym zainstalowana była przeglądarka (Macbook Air).
Safari "padła" jako pierwsza (hakerom zajęło to... 5 sekund) - wystarczyło wyświetlenie w przeglądarce odpowiednio zmodyfikowanej strony WWW. Krótko później Stephen Fewer zdołał włamać do Internet Explorera 8 (Fewer zdołał obejść nawet zabezpieczenia Trybu Chronionego).
Przypadek przeglądarki Apple'a jest o tyle ciekawy, że firma na dosłownie kilka minut przed rozpoczęciem tegorocznej edycji Pwn2Own zaktualizowała swój program - załatano w nim 62 luki w zabezpieczeniach (w tym wiele krytycznych). Specjaliści z Vupen przyznali, że firma odcięła w ten sposób kilka potencjalnych dróg ataku - ale zaraz dodali, że wszystkich dziur nie załatano i dlatego bez większego problemy udało im się złamać zabezpieczenia Safari.
Wcześniej - na kilka dni przed Pwn2Own - swoje aplikacje zaktualizowali również Google oraz Mozilla (zaś Microsoft zapowiedział, że tego nie zrobi).
Warto przypomnieć, że Safari od lat jest pierwszą ofiarą podczas kolejnych edycji Pwn2Own - do tej pory do przeglądarki Apple najczęściej jako pierwszy włamywał się wspomniany Charlie Miller (zwykle nie zajmowało mu to więcej niż kilka minut).
Dodajmy, że uczestnicy konkursu mogą atakować również Google Chrome, Firefoksa oraz mobilne systemy operacyjny (iOS, Windows Phone 7, Android oraz BlackBerry OS) - ale na razie żaden z nich nie został skutecznie "złamany". Regulamin Pwn2Own stanowi, że jeśli pierwszego dnia nikt nie zdoła się włamać do danej aplikacji czy systemu, to w kolejnych dniach zadanie to jest stopniowo ułatwiane. Pierwszego dnia celem jest "goły" program, bez żadnych dodatków czy wtyczek, zaś później dopuszczalne jest wykorzystania do ataków luk w aplikacjach dodatkowych (np. Adobe Flash, Apple QuickTime czy MS Silverlight).
- Gosć
- 2011-03-10 13:00:00
Google posuną się do tego, że płacił 20 000 USD każdemu za znaleziony błąd w Chromie przed imprezą i robił poprawkę. Czyli płacił więcej niż główna nagroda. Tą łapówką chciał poprawić swój wizerunek ale u kogo...
- Gosć
- 2011-03-10 13:12:11
Safari 5.0.3 pokonano na Mac OS X 10.6.6. W związku z czym gratuluję wiary w systemy typu uniks (i podobne). Jak widać, gdy takie coś staje się trochę bardziej złożone, to przegrywa w XXI wieku coraz bardziej z braku lepszych środowisk deweloperskich (świat, czytaj MS, ucieka coraz wyżej).
- ktoś
- 2011-03-10 14:06:22
@troll powyżej Włamanie do Safari nie nastąpiło poprzez system a przez Safari (zresztą w konkursie włamuje się do przeglądarek a nie systemów). Jak zainstalujesz dziurawy jak sito program na każdej platformie, to się do niej włamiesz (to tak jakbyś instalował trojana). Więc żadna tu zasługa Windowsa czy nagana dla MacOS. Nagana należy się przeglądarce Safari. Zresztą, IE poddał się nawet w "Trybie Chroniony", który miał znacznie utrudniać takie właśnie włamania. I co? Nie poradził sobie. A otwartoźródłowe Firefox i Chrome ciągle czekają. Tu właśnie dalej widać przewagę opensource nad closedsource.
- grafmarr
- 2011-03-10 15:31:52
W konkursie brała udział Safari 5.03 przed aktualizacją do 5.04. Przy 5.04 już tak szybko by nie było. Przypomnę, że kilkadziesiąt łat dotyczy WebKita, a więc nie produktu Apple. Zostały one niedawno załatane w Google Chrome i opublikowane wobec czego nietrudno było zgadnąć, że jak ktoś chce wygrać konkurs to weźmie na tapetę przeglądarkę, która pracuje na WebKit, ale w wersji jeszcze nie załatanej.
- nick...
- 2011-03-10 18:29:24
WebKit jest jak najbardziej produktem Apple! jedynie jego forki (QtWebKit, GTKWebKit) można uznać za niezależne oprogramowanie.
- grafmarr
- 2011-03-10 22:02:55
@nick... Czyli Google wykupiło licencję WebKit-a od Apple do swojej przeglądarki Chrome?
- ~gość
- 2011-03-11 10:09:43
Świat ucieka od M$ (HP, giełda londyńska itp) a Tad staje się coraz bardziej zabawny. Gdzie był przez parę ostatnich dni, gdy na M$ spadł czarny deszcz newsów
- ~tower
- 2011-03-11 10:12:50
Poza tym Gość nie wie co to jest łapówka. To, co Ci płacą za trolowanie o MS to też nie jest łapówka, tylko coś w rodzaju honorarium.
- ~Gunther
- 2011-03-11 15:06:23
Troll "Gość" to kliniczny przypadek microsoftowego fanbojstwa, albo kogoś kto zwyczajnie dla firmy z Redmond pracuje. Ta osoba nawet nie zauważyła, że Windows z IE8 padł zaraz po MacOSX z Safari. Nie mówiąc już o tym, że drzwiami do systemów były przeglądarki. Zaś Google nie tylko nie dawało łapówki, ale ufundowało dodatkową nagrodę (wyższą niż konkursowa) za złamanie Chrome. Google daje tym samym komunikat: tak zależy nam na bezpieczeństwie, że za wykrycie luki płacimy dużą kasę.
- ~Zeke
- 2011-03-11 16:31:14
@tad "świat, czytaj MS, ucieka coraz wyżej" O tak, MS ucieka coraz wyżej w góry! W góry absurdu chyba :) Zapomniałeś misiu, że najnowsze IE padło. W pierwszym dniu. Miało być super i bezpiecznie, wyszło jak zwykle.
- ~[[www.wwit.pl]]
- 2011-03-12 00:09:54
Kazda przegladarka ma luki tylko nie kazdy musi o tym wiedziec. Ciekaw jestem ile osob teraz zamieni IE badz Safari na Chrome??
- ~fffatman
- 2011-03-12 10:56:34
Sie bo wkrada przeklamanie: Safari zostala zupdejtowana jeszcze pozniej niz Chrome. Chrome''a nikt nie ruszyl a Safari tak. Safari ma ten sam silnik. Chrome''a nikt nie ruszyl a Safari tak. Wniosek: Safari jest, jak wiele innych rozwiazan proprietarnych, proprietarnie spsuta - aby chronic Apple i partnerow (a program moze byc napisany na dwa sposoby: albo aby chronic tworce/wlasciciela, albo aby chronic uzytkownika, T.N.D.). P.S.: Trudno jest spsuc BSD, wiec az do zeszlego roku (wydlubanie bazy danych z ajfona) nie bylo problemu. P.S. Na produkty MS w realu starcza stare dziury.
- ~fffatman
- 2011-03-12 11:01:40
@grafmarr: W konkursie brała udział Safari 5.03 przed aktualizacją do 5.04, bo aktualizacji dokonano na min uty przed konkursem.
- ~HH
- 2011-03-12 11:52:04
Co z tego, że Chrome "jest bezpieczny" skoro ta przeglądarka to jeden wielki szpion, który wszystkie ruchy użytkownika przekazuje do Google. To tak jakbym miał super zamki do domu, a pieniądze trzymał na korytarzu ;-)
- ~gość
- 2011-03-12 22:31:35
@HH, dowody ? Podejrzyj kiedyś sobie przesyłane dane z Chrome i do Chrome. A może po prostu jesteś kolejną sierotą powtarzającą jak małpa to co usłyszała od innej małpy...
- ~cjJvBVwY
- 2011-08-01 02:37:42
Woot, I will crteailny put this to good use!
- ~KXVWPoHlYzQ
- 2011-08-01 09:39:46
Grade A stuff. I''m uqunestionbaly in your debt.
- ~jlIetzsSgcvUinMAq
- 2011-08-01 16:12:43
Weeeee, what a quick and easy soluiton.
- ~SLtTgPcOtcghMD
- 2011-08-01 19:02:53
Ppl like you get all the brains. I just get to say thanks for he aneswr.
Popularne produkty
Jak pomnażać oszczędności? Spraw, by twoje pieniądze zaczęły pracować na ciebie!
Konsola MICROSOFT Xbox 360 Slim 250 GB
Smartfon SAMSUNG Galaxy Note
Pobierz bezpłatnego e-booka 
Kariera w IT 2012
