Конкурс по взлому браузеров Pwn2Own 2013: уцелел только Safari

    Один комментарий

Завершился ежегодный конкурс Pwn2Own, на котором участники пытаются взломать популярные браузеры и плагины к ним. В этом году мероприятие оказалось богатым на взломы.

В середине текущей недели в рамках конференции CanSecWest 2013 был проведен очередной конкурс Pwn2Own. В этом году официальным спонсором была компания HP. Также дополнительный денежный фонд учрежден компанией Google. В этот раз представители данной компании предлагали сломать операционную систему Chrome OS. В рамках Pwn2Own участникам предлагалось продемонстрировать рабочие уязвимости в последних версиях Internet Explorer, Chrome, Firefox и Safari, а также популярных плагинов к интернет-обозревателям. Браузеры устанавливались на операционные системы Windows 7 и 8, а также Mac OS X Mountain Lion. ОС содержали все последние обновления.

Что касается денежных вознаграждений, то они выросли по сравнению с прошлым годом. Так, максимальные награды в 100,000$ можно было получить за взлом браузера Chrome и Internet Explorer 10 на Windows 8. Чуть меньше было назначено за IE 10 на Windows 7 — 75,000$. За взлом Firefox полагалось 60,000$, за Safari на OS X Mountain Lion 65,000$. Взлом плагина Oracle Java оплачивался в 20,000$, Adobe Reader и Flash в 70,000$. Уязвимости в плагинах необходимо было продемонстрировать, используя Internet Explorer 9 на Windows 7. С условиями все, перейдем к результатам.

Взламывается практически всё

Первые результаты появились спустя несколько часов после начала соревнования. Разными участниками были продемонстрированы две уязвимости в плагине Java. Из браузеров первым пал Internet Explorer 10. Уязвимость была продемонстрирована командой VUPEN Security, уже знакомой всем по прошлому году. Более того, была показана не одна, а две уязвимости. При этом использовалось устройство MS Surface Pro с Windows 8. Далее участникам Nils & Jon удалось обойти все системы защиты и OC интернет-обозревателя Chrome. Завершая первый день Pwn2Own 2013, все тем же VUPEN Security удалось продемонстрировать рабочие механизмы взлома браузера Firefox и еще раз найти уязвимость в Java.

Демонстрация взлома Chrome

Во второй день были продемонстрированы успешные взломы плагинов Flash, Adobe Reader и Java. Получается, что последний из плагинов в ходе конкурса был взломан 4 раза. Таким образом, из всех представленных продуктов уцелел только браузер Safari, который предлагалось взломать на ОС Mac OS X Mountain Lion (напомним, для Windows данный обозреватель теперь не разрабатывается). Также в рамках Pwnium так и не была взломана Chrome OS, работающая в Linux-окружении. Все, что смогли показать участники — это только частично работающие эксплойты.

Our #pwn2own results: ☑ IE10/Win8, ☑ Java/Win7, ☑ Firefox/Win7, ☑ Flash/Win7. We used & reported 8 zero-days/techniques and we won $250K !

— VUPEN Security (@VUPEN) 8 марта 2013 г.

VUPEN Security в Twitter о своих достижениях

Обновление финальных версий Firefox и Chrome

Разработчики Google и Mozilla оперативно среагировали на найденные проблемы в безопасности своих продуктов и буквально через день выпустили обновление финальных версий. Ими стали Firefox 19.0.2 и Chrome 25.0.1364.160 соответственно.