Ziua 1 la pwn2own – Safari si IE8 nu au rezistat, Chrome fara inamic

4

Ieri a fost prima zi a evenimentului pwn2own, o competiţie anuală la care se adună cele mai importante firme din lume la care specialişti în securitate demonstrează sau nu problemele de securitate ale unor produse. Anul trecut, Chrome a fost singurul browser ce a scăpat neatins şi se pare că nici anul acesta nu e departe de acelaşi rezultat.

Cele mai noi versiuni ale browserelor Safari şi Internet Explorer 8 au fost sparte ieri cu succes în cadrul pwn2own. Provocarea specialiştilor în securitate a fost să găsească o modalitate pentru a executa cod arbitrar, cu ajutorul căruia să poată controla partea hardware din intereriorul browserului. Pe lângă asta, anul acesta, au fost nevoiţi să scape şi de sandbox-uri, mediu special conceput pentru reducerea accesului asupra sistemului de operare.

Safari 5.0.3 a fost primul browser care a fost exploatat, pe un MAC OS X 10.6.6, după ce VUPEN, o echipă de securitate franceză a accesat o pagină maliţioasă special creată care a executat calculatorul din sistemul de operare (demonstrând executarea codului arbitrar) iar apoi au scris un fişier pe hard disk (demonstrând astfel că sandbox-ul a fost depăşit).

A urmat apoi Internet Explorer, pe 32-biţi instalat pe un Windows 7 SP 1, varianta pe 64 de biţi, browser ce a fost „rezolvat” de specialistul în securitate Stephen Fewer. Ca în cazul Safari, acesta a demonstrat că poate rula comenzi şi că a depăşit sandbox-ul IE. Specialiştii în securitate susţin că el ar fi avut nevoie de trei vulnerabilităţi – două pentru a reuşi să execute cod în browser şi a treia ce exploatează o vulnerabilitate în Protected Mode din IE.

Urmatoarul pe listă a fost browserul Google Chrome ce a încurajat specialiştii în securitate prin promisiunea de a recompensa cu o sumă considerabilă de bani oricare participant ce va reuşi să exploateze browserul companiei. Din păcate (sau din fericire pentru utilizatori), nu a apărut nimeni.

Suntem curioşi cum se va descurca Mozilla Firefox. Pe lângă asta vor fi testate şi sistemel de operare ale smartphone-urilor : iPhone, Android, Windows Phone 7 şi Blackberry OS sunt pe lista.

Etichete:

— Andrei Avădănei a scris 1246 articole

Andrei scrie pe worldit.info din vara lui 2011. Este fondatorul Asociatiei Centrul de Cercetare in Securitate Informatica din Romania - CCSIR si coordoneaza DefCamp, cea mai importanta conferinta de securitate informatica & hacking din Europa Centrala si de Est. Andrei ofera in cadrul Bit Sentinel servicii de securitate informatica, penetration testing, security management, recuperarea de pe urma unui atac cibernetic, training-uri si workshop-uri.

4 Comentarii

  1. iosif spune:
    martie 10, 2011 la 2:52 pm

    Astazi au lansat cei de la Mozilla versiunea RC. Ar fi foarte bine daca si Firefox-ul ar trece cu bine peste testele astea.

  2. Andrici Cezar spune:
    martie 10, 2011 la 3:46 pm

    Sa ne anunti cand apar si alte informatii despre Mozilla si Chrome..
    Tare articolul!

  3. Ziua 1 la pwn2own – Safari si IE8 nu au rezistat, Chrome fara inamic spune:
    martie 10, 2011 la 9:47 pm

    […] ale smartphone-urilor: iPhone, Android, Windows Phone 7 si Blackberry OS sunt pe lista.Sursa: WorldIT /* */ var nr_url="http://api.nrelate.com/rcw_wp/0.44.0/?tag=nrelate_related"; […]

  4. Augustin spune:
    martie 13, 2011 la 12:42 am

    Sincer, pentru mine Chrome e cel mai bun browser se misca repede, interpreteaza bine site-urile pe langa IE si multe altele.Cei de la Google fac o treaba minunata!