Feladták a leckét az etikus hackerek
A Pwn2Own hackerverseny számos veszélyes sebezhetőséget hozott felszínre. A versenyzők a Microsoftot, az Adobe-ot és az Apple-t is megleckéztették.
Tavaly a HP és a Zero Day Initiative (ZDI) úgy határozott, hogy nem támogatja tovább a mobil platformok hackelésére kiírt Mobile Pwn2Own versenyt. Ugyanakkor az "alaprendezvény" továbbra sem került le az eseménynaptárról. Ez elsősorban annak köszönhető, hogy a Trend Micro felvásárolta a TippingPointot és vele együtt a ZDI-t. A biztonsági cég pedig úgy határozott, hogy a Pwn2Own idén sem marad el a kanadai CanSecWest konferencián. A megmérettetés ezúttal is két napon keresztül tartott, és összesen 21 veszélyes biztonsági résre derített fényt. A versenyzők most is kitettek magukért, és összesen 460 ezer dollárnyi jutalommal a zsebükben tértek haza.
Az első nap
A Pwn2Own első napján hat támadási kísérletből négy volt sikeres. Ezek során összesen 15 sérülékenységről rántották le a leplet a résztvevők. JungHoon Lee kutató az Apple Safariban általa felfedezett négy biztonsági résen keresztül kényszerített térdre egy Mac számítógépet, és szerzett azon rendszergazdai jogokat. Ezért a tettéért 60 ezer dollárt kapott. A 360Vulcan Team is odatette magát, amikor az Adobe Flash és a Windows kernel gyenge pontjainak kifürkészésével megállíthatatlannak bizonyult: a versenyre felkészített (minden frissítéssel és EMET-védelemmel) ellátott számítógép felett vette át a hatalmat. Emellett egy sikeres támadást indított a Google Chrome ellen, de később kiderült, hogy az ekkor kihasznált sebezhetőségről a Google már tudott, így ezért nem járt jutalom. Az első napon bemutatkozott még a Tencent Security Team is, amely 50 ezer dolláros díjért szintén a Flash Playert törte fel.
A második nap
Tovább folytatódott a tűzijáték. Ekkor is a Tencent Security Team és JungHoon Lee brillírozott. Az utolsó napon sem tudta állni a sarat a Safari böngésző, de a Microsoft Edge alkalmazás sem. A Safarin keresztül ismét védtelenné vált a Mac-gép, míg az Edge hibája a Windows-os PC-t tette kiszolgáltatottá. Ezek mellett további kísérletek is voltak például a Chrome törésére, de ezek kudarcot vallottak.
A kétnapos versenyen összességében a Tencent Security Team szerepelt a legjobban, amely 38 Master of Pwn pontot gyűjtött. Ezzel a sérülékenységekkel megkeresett 142.500 dollár mellé további 65 ezer dollárt kaptak a csoport tagjai. Lee pedig összességében 145.000 dollárral a zsebében sétált el a verseny helyszínéről.
A Pwn2Own-en napvilágra került 21 sebezhetőség megszüntetésén a fejlesztők már dolgoznak. A biztonsági rések megoszlása a következőképpen alakult:
Microsoft Windows: 6
Apple OS X: 5
Adobe Flash: 4
Apple Safari: 3
Microsoft Edge: 2
Google Chrome: 1 (erről kiderül, hogy már ismert hiba volt).
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
-
A Microsoft Edge legújabb verziója számos sebezhetőséget szüntet meg.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.
