Durván ostromolták a szoftvereket a fehérkalapos hackerek

Szerző: Kristóf Csaba | Utolsó módosítás: 2015.03.23.

A Pwn2Own hackerversenyen sorban dőltek a dominók. Egyetlen alkalmazás sem bírta a versenyzők nyomását, akik összességében több mint 800 ezer dollárral a zsebükben tértek haza a megmérettetés után.

A Pwn2Own hackerkonferencia az elmúlt években az egyik legelismertebb hackerrendezvénnyé vált. Idén ráadásul még nagyobb várakozások előzték meg a kétnapos rendezvényt, ugyanis a szokásos, magas pénzdíjak mellett immár nemcsak a HP Zero Day Initiative, hanem a Google (Project Zero) is teljes mellszélességgel kiállt az esemény mellett. Vagyis a két nagy összefogott annak érdekében, hogy egy valóban izgalmas versenyt sikerüljön lebonyolítani. A Pwn2Own - hasonlóan több más hackerversenyhez - valójában nem arról szól, hogy melyik résztvevő mennyi jutalmat kasszíroz be. A fejlesztők és a felhasználók szempontjából ennél sokkal lényegesebb, hogy olyan sebezhetőségekre derül fény, amelyeket gyorsan meg lehet szüntetni, és a kiberbűnözőket megelőzve lehet védelmi intézkedéseket tenni.

Az első nap

A csillaghullás már az első napon megkezdődött. Először három résztvevő az Adobe Flash ostromlásának látott neki, és rövid időn belül sikerült is kihasználniuk egy puffertúlcsordulási hibát, amiért rögtön 60 ezer dollár ütötte a markukat. Ehhez pár perc múlva további 25 ezer dollár társult, amikor rendszerszintű kódfuttatást is sikerült megvalósítaniuk egy Windows kernel hiba, valamint speciálisan szerkesztett TrueType fontok felhasználásával. Az Adobe alkalmazásainak sorsa azonban igazán akkor pecsételődött meg, amikor érkezett Nicolas Joly, aki mind az Adobe Readert, mind az Adobe Flash-t sikeresen térdre kényszerítette. Mindkét esetben puffertúlcsordulási hibákat tárt a zsűri elé, és a sandbox megkerülésére is talált módot.

Az első napon Mariusz Mlynsk jóvoltából a Firefox böngészőben is fény derült egy súlyos sérülékenységre, de az Internet Explorer 64 bites verziója sem bírta sokáig a gyűrődést. Mindkét böngészőn keresztül sikerült jogosulatlan kódfuttatást elérniük a versenyzőknek.

Olvassa tovább
Prémium előfizetéssel!

Tovább olvasom

Iratkozzon fel hírlevelünkre!

További hírek

FBI: nem lankadnak az internetes csalók

Biztonságosabb fiókkezelést kapott a ChatGPT

Gigantikus támadási felületet biztosít a hanyag VNC-kezelés

Nem sikerül megválni a sok sebből vérző FTP-től

Riasztások

4

7-Zip sebezhetőség

A 7-Zip egy fontos biztonsági javítást kapott.
4

Notepad++ sérülékenység

A Notepad++ két sebezhetőséget tartalmaz.
4

Joomla! biztonsági hibák

A Joomla! fejlesztői 10 biztonsági résről számoltak be.
4

Roundcube Webmail sérülékenységek

A Roundcube Webmail újabb fontos biztonsági frissítést kapott.
4

Asterisk biztonsági hibák

Az Asterisk fejlesztői biztonsági hibákról számoltak be.
3

BIND sérülékenységek

Az ISC BIND kapcsán öt biztonsági hibajavítás vált elérhetővé.
4

Trend Micro Apex sebezhetőségek

A Trend Micro Apex One-hoz fontos biztonsági frissítések érkeztek.
4

phpMyFAQ biztonsági rések

A phpMyFAQ fejlesztői öt biztonsági hibáról adtak tájékoztatást.
4

Microsoft Defender sebezhetőségek

A Microsoft két biztonsági hibajavítást adott ki a Microsoft Defenderhez.
3

Dovecot frissírések

Számos biztonsági frissítés érkezett a Dovecothoz.

	G Data Internet Security 10 eszköz 2 év Új licenc
	65625 Ft

	G Data AntiVirus 1 év 2 eszköz Hosszabbítás
	8700 Ft

	G Data Total Security 2 év 3 eszköz Új licenc
	37500 Ft

Partnerhírek

Már többmilliós letöltésnél jár az új Androidos csalás

Az ESET kiberbiztonsági kutatói egy új, CallPhantom névre keresztelt androidos csalássorozatot azonosítottak a Google Play áruházban, amely valótlan ígéretekkel próbál pénzt kicsalni a felhasználóktól.

Apple Pay-csalások: hat gyakori módszer, amire érdemes figyelni

Az Apple Pay az egyik legnépszerűbb mobilfizetési szolgáltatás világszerte: becslések szerint több százmillió felhasználóval és évente több ezermilliárd dollárnyi tranzakcióval.

További partnerhírek >>