Feladták a leckét az etikus hackerek

A Pwn2Own hackerverseny számos veszélyes sebezhetőséget hozott felszínre. A versenyzők a Microsoftot, az Adobe-ot és az Apple-t is megleckéztették.
 
hirdetés
Tavaly a HP és a Zero Day Initiative (ZDI) úgy határozott, hogy nem támogatja tovább a mobil platformok hackelésére kiírt Mobile Pwn2Own versenyt. Ugyanakkor az "alaprendezvény" továbbra sem került le az eseménynaptárról. Ez elsősorban annak köszönhető, hogy a Trend Micro felvásárolta a TippingPointot és vele együtt a ZDI-t. A biztonsági cég pedig úgy határozott, hogy a Pwn2Own idén sem marad el a kanadai CanSecWest konferencián. A megmérettetés ezúttal is két napon keresztül tartott, és összesen 21 veszélyes biztonsági résre derített fényt. A versenyzők most is kitettek magukért, és összesen 460 ezer dollárnyi jutalommal a zsebükben tértek haza.
 
Az első nap

A Pwn2Own első napján hat támadási kísérletből négy volt sikeres. Ezek során összesen 15 sérülékenységről rántották le a leplet a résztvevők. JungHoon Lee kutató az Apple Safariban általa felfedezett négy biztonsági résen keresztül kényszerített térdre egy Mac számítógépet, és szerzett azon rendszergazdai jogokat. Ezért a tettéért 60 ezer dollárt kapott. A 360Vulcan Team is odatette magát, amikor az Adobe Flash és a Windows kernel gyenge pontjainak kifürkészésével megállíthatatlannak bizonyult: a versenyre felkészített (minden frissítéssel és EMET-védelemmel) ellátott számítógép felett vette át a hatalmat. Emellett egy sikeres támadást indított a Google Chrome ellen, de később kiderült, hogy az ekkor kihasznált sebezhetőségről a Google már tudott, így ezért nem járt jutalom. Az első napon bemutatkozott még a Tencent Security Team is, amely 50 ezer dolláros díjért szintén a Flash Playert törte fel.

 
A második nap

Tovább folytatódott a tűzijáték. Ekkor is a Tencent Security Team és JungHoon Lee brillírozott. Az utolsó napon sem tudta állni a sarat a Safari böngésző, de a Microsoft Edge alkalmazás sem. A Safarin keresztül ismét védtelenné vált a Mac-gép, míg az Edge hibája a Windows-os PC-t tette kiszolgáltatottá. Ezek mellett további kísérletek is voltak például a Chrome törésére, de ezek kudarcot vallottak.

 
A kétnapos versenyen összességében a Tencent Security Team szerepelt a legjobban, amely 38 Master of Pwn pontot gyűjtött. Ezzel a sérülékenységekkel megkeresett 142.500 dollár mellé további 65 ezer dollárt kaptak a csoport tagjai. Lee pedig összességében 145.000 dollárral a zsebében sétált el a verseny helyszínéről.
 
A Pwn2Own-en napvilágra került 21 sebezhetőség megszüntetésén a fejlesztők már dolgoznak. A biztonsági rések megoszlása a következőképpen alakult:
Microsoft Windows: 6
Apple OS X: 5
Adobe Flash: 4
Apple Safari: 3
Microsoft Edge: 2
Google Chrome: 1 (erről kiderül, hogy már ismert hiba volt). 
Vélemények
 
  1. 3

    A Linux Kernel egy újabb fontos patch-et kapott.

  2. 1

    A Salgorea trójai Mac-alapú számítógépeken nyit egy hátsó kaput, és teszi kiszolgáltatottá azokat a támadásokkal szemben.

  3. 3

    A KVM sebezhetősége extra jogokhoz juttathatja a támadókat.

 
Partnerhírek
​Kiszivárgott a Windows 10 forráskódjának egy része

Kis ideig a világ azt hitte, hogy a Windows 10-es operációs rendszer 32 GB-nyi forráskódjához bárki hozzáférhetett, azonban kiderült, hogy a kormányzatokkal, partnerekkel is megosztott 1,2 GB-nyi adat került napvilágra.

Hivatalos boltból is érkezhet kártevő

A hivatalos Google Play Store-on keresztül is kerülhet vírus androidos mobileszközünkre.

hirdetés
Közösség
1