9
2013
Конкурс по взлому браузеров Pwn2Own 2013: уцелел только Safari
Завершился ежегодный конкурс Pwn2Own, на котором участники пытаются взломать популярные браузеры и плагины к ним. В этом году мероприятие оказалось богатым на взломы.
В середине текущей недели в рамках конференции CanSecWest 2013 был проведен очередной конкурс Pwn2Own. В этом году официальным спонсором была компания HP. Также дополнительный денежный фонд учрежден компанией Google. В этот раз представители данной компании предлагали сломать операционную систему Chrome OS. В рамках Pwn2Own участникам предлагалось продемонстрировать рабочие уязвимости в последних версиях Internet Explorer, Chrome, Firefox и Safari, а также популярных плагинов к интернет-обозревателям. Браузеры устанавливались на операционные системы Windows 7 и 8, а также Mac OS X Mountain Lion. ОС содержали все последние обновления.
Что касается денежных вознаграждений, то они выросли по сравнению с прошлым годом. Так, максимальные награды в 100,000$ можно было получить за взлом браузера Chrome и Internet Explorer 10 на Windows 8. Чуть меньше было назначено за IE 10 на Windows 7 — 75,000$. За взлом Firefox полагалось 60,000$, за Safari на OS X Mountain Lion 65,000$. Взлом плагина Oracle Java оплачивался в 20,000$, Adobe Reader и Flash в 70,000$. Уязвимости в плагинах необходимо было продемонстрировать, используя Internet Explorer 9 на Windows 7. С условиями все, перейдем к результатам.
Взламывается практически всё
Первые результаты появились спустя несколько часов после начала соревнования. Разными участниками были продемонстрированы две уязвимости в плагине Java. Из браузеров первым пал Internet Explorer 10. Уязвимость была продемонстрирована командой VUPEN Security, уже знакомой всем по прошлому году. Более того, была показана не одна, а две уязвимости. При этом использовалось устройство MS Surface Pro с Windows 8. Далее участникам Nils & Jon удалось обойти все системы защиты и OC интернет-обозревателя Chrome. Завершая первый день Pwn2Own 2013, все тем же VUPEN Security удалось продемонстрировать рабочие механизмы взлома браузера Firefox и еще раз найти уязвимость в Java.
Демонстрация взлома Chrome
Во второй день были продемонстрированы успешные взломы плагинов Flash, Adobe Reader и Java. Получается, что последний из плагинов в ходе конкурса был взломан 4 раза. Таким образом, из всех представленных продуктов уцелел только браузер Safari, который предлагалось взломать на ОС Mac OS X Mountain Lion (напомним, для Windows данный обозреватель теперь не разрабатывается). Также в рамках Pwnium так и не была взломана Chrome OS, работающая в Linux-окружении. Все, что смогли показать участники — это только частично работающие эксплойты.
Our #pwn2own results: ☑ IE10/Win8, ☑ Java/Win7, ☑ Firefox/Win7, ☑ Flash/Win7. We used & reported 8 zero-days/techniques and we won $250K !
— VUPEN Security (@VUPEN) 8 марта 2013 г.
VUPEN Security в Twitter о своих достижениях
Обновление финальных версий Firefox и Chrome
Разработчики Google и Mozilla оперативно среагировали на найденные проблемы в безопасности своих продуктов и буквально через день выпустили обновление финальных версий. Ими стали Firefox 19.0.2 и Chrome 25.0.1364.160 соответственно.
Похожие записи:
Один комментарий Комментировать
Оставить комментарий

Тэги
Свежие комментарии
Архивы
- Октябрь 2014
- Сентябрь 2014
- Август 2014
- Июль 2014
- Июнь 2014
- Апрель 2014
- Март 2014
- Декабрь 2013
- Ноябрь 2013
- Октябрь 2013
- Сентябрь 2013
- Август 2013
- Июль 2013
- Июнь 2013
- Май 2013
- Апрель 2013
- Март 2013
- Февраль 2013
- Январь 2013
- Декабрь 2012
- Ноябрь 2012
- Октябрь 2012
- Сентябрь 2012
- Август 2012
- Июль 2012
- Июнь 2012
- Май 2012
- Апрель 2012
- Март 2012
- Февраль 2012
- Январь 2012
- Декабрь 2011
- Ноябрь 2011
- Октябрь 2011
- Сентябрь 2011
- Август 2011
- Июль 2011
- Июнь 2011
- Май 2011
- Апрель 2011
- Март 2011
- Февраль 2011
- Январь 2011
- Декабрь 2010
- Ноябрь 2010
- Октябрь 2010
Java в последнее время на пике популярности со знаком минус в плане найденных уязвимостей. Даже с Flash Player в последнее время не так часто случается.