Feladták a leckét az etikus hackerek

A Pwn2Own hackerverseny számos veszélyes sebezhetőséget hozott felszínre. A versenyzők a Microsoftot, az Adobe-ot és az Apple-t is megleckéztették.
 
hirdetés
Tavaly a HP és a Zero Day Initiative (ZDI) úgy határozott, hogy nem támogatja tovább a mobil platformok hackelésére kiírt Mobile Pwn2Own versenyt. Ugyanakkor az "alaprendezvény" továbbra sem került le az eseménynaptárról. Ez elsősorban annak köszönhető, hogy a Trend Micro felvásárolta a TippingPointot és vele együtt a ZDI-t. A biztonsági cég pedig úgy határozott, hogy a Pwn2Own idén sem marad el a kanadai CanSecWest konferencián. A megmérettetés ezúttal is két napon keresztül tartott, és összesen 21 veszélyes biztonsági résre derített fényt. A versenyzők most is kitettek magukért, és összesen 460 ezer dollárnyi jutalommal a zsebükben tértek haza.
 
Az első nap

A Pwn2Own első napján hat támadási kísérletből négy volt sikeres. Ezek során összesen 15 sérülékenységről rántották le a leplet a résztvevők. JungHoon Lee kutató az Apple Safariban általa felfedezett négy biztonsági résen keresztül kényszerített térdre egy Mac számítógépet, és szerzett azon rendszergazdai jogokat. Ezért a tettéért 60 ezer dollárt kapott. A 360Vulcan Team is odatette magát, amikor az Adobe Flash és a Windows kernel gyenge pontjainak kifürkészésével megállíthatatlannak bizonyult: a versenyre felkészített (minden frissítéssel és EMET-védelemmel) ellátott számítógép felett vette át a hatalmat. Emellett egy sikeres támadást indított a Google Chrome ellen, de később kiderült, hogy az ekkor kihasznált sebezhetőségről a Google már tudott, így ezért nem járt jutalom. Az első napon bemutatkozott még a Tencent Security Team is, amely 50 ezer dolláros díjért szintén a Flash Playert törte fel.

 
A második nap

Tovább folytatódott a tűzijáték. Ekkor is a Tencent Security Team és JungHoon Lee brillírozott. Az utolsó napon sem tudta állni a sarat a Safari böngésző, de a Microsoft Edge alkalmazás sem. A Safarin keresztül ismét védtelenné vált a Mac-gép, míg az Edge hibája a Windows-os PC-t tette kiszolgáltatottá. Ezek mellett további kísérletek is voltak például a Chrome törésére, de ezek kudarcot vallottak.

 
A kétnapos versenyen összességében a Tencent Security Team szerepelt a legjobban, amely 38 Master of Pwn pontot gyűjtött. Ezzel a sérülékenységekkel megkeresett 142.500 dollár mellé további 65 ezer dollárt kaptak a csoport tagjai. Lee pedig összességében 145.000 dollárral a zsebében sétált el a verseny helyszínéről.
 
A Pwn2Own-en napvilágra került 21 sebezhetőség megszüntetésén a fejlesztők már dolgoznak. A biztonsági rések megoszlása a következőképpen alakult:
Microsoft Windows: 6
Apple OS X: 5
Adobe Flash: 4
Apple Safari: 3
Microsoft Edge: 2
Google Chrome: 1 (erről kiderül, hogy már ismert hiba volt). 
Vélemények
 
  1. 4

    A Linksys egyes routereit érintő sebezhetőségekről számolt be.

  2. 3

    A cURL/libcurl két biztonsági hibát tartalmaz.

  3. 4

    A SquirrelMail sebezhetősége jogosulatlan távoli kódfuttatást is elősegíthet.

 
Partnerhírek
Az ujjnyomat olvasó nem olyan biztonságos, mint gondolnánk

Az ujjnyomat olvasók igazán kényelmessé tették telefonjainkat. A legújabb kutatások szerint azonban nem annyira biztonságos, mint gondolnánk.

Trójai főlény a vírusok toplistáján

A mezőnyt továbbra is a Wauchos vezeti. A kártevő fő célja rosszindulatú kódok letöltése az internetről a fertőzött számítógépre.

hirdetés
Közösség
1