Feladták a leckét az etikus hackerek

A Pwn2Own hackerverseny számos veszélyes sebezhetőséget hozott felszínre. A versenyzők a Microsoftot, az Adobe-ot és az Apple-t is megleckéztették.
 
Tavaly a HP és a Zero Day Initiative (ZDI) úgy határozott, hogy nem támogatja tovább a mobil platformok hackelésére kiírt Mobile Pwn2Own versenyt. Ugyanakkor az "alaprendezvény" továbbra sem került le az eseménynaptárról. Ez elsősorban annak köszönhető, hogy a Trend Micro felvásárolta a TippingPointot és vele együtt a ZDI-t. A biztonsági cég pedig úgy határozott, hogy a Pwn2Own idén sem marad el a kanadai CanSecWest konferencián. A megmérettetés ezúttal is két napon keresztül tartott, és összesen 21 veszélyes biztonsági résre derített fényt. A versenyzők most is kitettek magukért, és összesen 460 ezer dollárnyi jutalommal a zsebükben tértek haza.
 
Az első nap

A Pwn2Own első napján hat támadási kísérletből négy volt sikeres. Ezek során összesen 15 sérülékenységről rántották le a leplet a résztvevők. JungHoon Lee kutató az Apple Safariban általa felfedezett négy biztonsági résen keresztül kényszerített térdre egy Mac számítógépet, és szerzett azon rendszergazdai jogokat. Ezért a tettéért 60 ezer dollárt kapott. A 360Vulcan Team is odatette magát, amikor az Adobe Flash és a Windows kernel gyenge pontjainak kifürkészésével megállíthatatlannak bizonyult: a versenyre felkészített (minden frissítéssel és EMET-védelemmel) ellátott számítógép felett vette át a hatalmat. Emellett egy sikeres támadást indított a Google Chrome ellen, de később kiderült, hogy az ekkor kihasznált sebezhetőségről a Google már tudott, így ezért nem járt jutalom. Az első napon bemutatkozott még a Tencent Security Team is, amely 50 ezer dolláros díjért szintén a Flash Playert törte fel.

 
A második nap

Tovább folytatódott a tűzijáték. Ekkor is a Tencent Security Team és JungHoon Lee brillírozott. Az utolsó napon sem tudta állni a sarat a Safari böngésző, de a Microsoft Edge alkalmazás sem. A Safarin keresztül ismét védtelenné vált a Mac-gép, míg az Edge hibája a Windows-os PC-t tette kiszolgáltatottá. Ezek mellett további kísérletek is voltak például a Chrome törésére, de ezek kudarcot vallottak.

 
A kétnapos versenyen összességében a Tencent Security Team szerepelt a legjobban, amely 38 Master of Pwn pontot gyűjtött. Ezzel a sérülékenységekkel megkeresett 142.500 dollár mellé további 65 ezer dollárt kaptak a csoport tagjai. Lee pedig összességében 145.000 dollárral a zsebében sétált el a verseny helyszínéről.
 
A Pwn2Own-en napvilágra került 21 sebezhetőség megszüntetésén a fejlesztők már dolgoznak. A biztonsági rések megoszlása a következőképpen alakult:
Microsoft Windows: 6
Apple OS X: 5
Adobe Flash: 4
Apple Safari: 3
Microsoft Edge: 2
Google Chrome: 1 (erről kiderül, hogy már ismert hiba volt). 
Vélemények
 
  1. 3

    A Linux Kernel legutóbb feltárt sebezhetősége jogosultsági szint emelést segíthet elő.

  2. 4

    A Microsoft Remote Desktop Client for Mac jogosulatlan távoli kódfuttatáshoz járulhat hozzá.

  3. 3

    A Cisco Email Security Appliance egy biztonsági hibajavítást kapott.

 
Partnerhírek
Hirdetési bannerek pixeleiben rejtőző kártevő

Az ESET kutatói fertőzött hirdetéseken keresztül terjedő új expolit kitet fedeztek fel. Az érintett oldalak között neves, több millió napi látogatóval bíró weboldalak is megtalálhatók.

Új vezetőkkel bővül a Balabit menedzsmentje

Peter O’Neill globális kereskedelmi, míg Matthew Ravden marketing igazgatóként csatlakozott a Balabit csapatához.

hirdetés
Közösség
1