Well it's Maret lagi dan juga kita cintai Maret karena Pwn2Own waktu! Setiap tahun sekitar waktu ini kita mendapatkan beberapa barang untuk membahas perjalanan pulang sejak:

Butuh Microsoft sampai bulan Juni tahun lalu untuk memperbaiki bug Pwn2Own - Microsoft Patch Sedikitnya 34 Bugs Termasuk Pwn2Own Kerentanan .

Kali ini baik Internet Explorer dan Safari jatuh pada hari pertama!


Kontestan dalam kontes hacking taruhan tinggi tidak kesulitan menumbangkan Safari Apple dan Microsoft Internet Explorer browser, membuktikan untuk tahun kelima berturut-turut bahwa tidak ada software atau aplikasi yang aman dari orang-orang dengan keahlian dan motivasi untuk mengeksploitasi mereka.

Serangan datang pada Hari Satu dari kontes Pwn2Own, yang membayar lebih dari $ 15.000 masing-masing untuk eksploitasi yang berhasil memberikan penyerang akses remote penuh dari mesin yang ditargetkan. acara hari Rabu melihat hacker mengambil kontrol penuh dari sepenuhnya ditambal Sony Vaio dan MacBook Air dengan mengorbankan IE dan Safari masing-masing. Google Chrome browser juga untuk diperebutkan, tapi tak seorang pun melangkah maju untuk mencoba hacking itu.

"Setiap browser, setiap sistem operasi, memiliki kerentanan sendiri," kata Chaouki Bekrar, CEO Vupen Keamanan dan kontestan yang berhasil hacked Safari. "Inilah yang kami ingin menunjukkan -. Bahwa kita dapat menciptakan sangat handal memanfaatkan untuk Apple Mac OS dan Safari tanpa menabrak browser"

Kontes aturan melarang dia dari mengungkapkan paling rincian teknis di balik kerentanan, namun ia diijinkan untuk mengatakan bahwa hal itu melibatkan apa yang dikenal sebagai cacat gunakan-setelah-bebas dalam browser Apple. Dia mengatakan mengeksploitasi menggunakan teknik yang dikenal sebagai pemrograman berorientasi kembali untuk melewati perlindungan keamanan yang diketahui sebagai pencegahan eksekusi data yang dibangun ke dalam program Apple banyak.

Ada rentetan patch baru-baru ini juga dengan Microsoft menambal beberapa bug serius yang sangat dalam Maret 2011 Hitam Selasa , Apple Mac patch bug kritis dengan update Jawa ,Apple menambal 62 bug di Safari dan Jon Oberheide membunuh sendiri Android bug denganmelaporkannya kepada google .

Sedih juga salah satu juara Pwn2Own Geohot tidak hadir kemungkinan besar ke atas badai sialan Sony adalah melempar ke arahnya .

Ini akan menarik untuk apa lagi yang keluar dari Pwn2Own tahun ini.







Setelah bangunan alat dari awal, itu butuh waktu sekitar dua minggu untuk menemukan bug dan berangkat untuk memanfaatkannya. Hasilnya adalah sebuah serangan yang dipercaya commandeers Mac ketika Safari kunjungan situs Web yang host kode berbahaya.

"Hanya setelah mengunjungi halaman web dengan versi terkena Safari, kita dapat, misalnya, meluncurkan kalkulator atau membuka shell atau melakukan apapun yang kita inginkan," katanya satu atau dua menit setelah menunjukkan mengeksploitasi di kontes, yang dihadiri oleh anggota tim keamanan Apple. "Kami memiliki hak istimewa yang sama sebagai user yang mengunjungi halaman Web."

Dia mengatakan pengguna tidak akan memiliki cara untuk mengetahui mesin mereka telah diganggu. Tidak ada meminta prompt untuk password. Satu-satunya cara untuk mencegah serangan adalah dengan menjalankan Safari dari account yang telah dikonfigurasi untuk memiliki hak akses terbatas.

Berdasarkan aturan kompetisi, kontestan menarik undian untuk menentukan siapa yang pertama upaya hacking browser tertentu. Setelah browser dikompromikan, itu dikeluarkan dari menjalankan. Baik IE dan Safari yang hack pada percobaan pertama.

"Saya memiliki memanfaatkan semua siap untuk pergi, dan sekarang itu hanya duduk di tas saya," kata Charlie Miller, pemenang Pwn2Own tiga kali, tak lama setelah Bekrar mengambil hadiah tahun ini. "Anda akan berpikir Apple akan khawatir tentang hal itu."

Miller mengatakan dia punya serangan bekerja selama lebih dari sembilan bulan sekarang. Bahkan setelah Apple 62 bug yang ditambal kekalahan Safari keamanan hanya beberapa jam sebelum kontes dimulai, Miller mengeksploitasi masih bekerja, katanya.

Charlie Miller telah bekerja eksploitasi duduk di punggungnya juga setelah Bekrar sudah mengambil hadiah. Tampaknya seperti itu benar-benar cukup layak mengembangkan, handal bekerja 0-hari memanfaatkan untuk $ 15.000!

Bak pasir baru di IE punya pwned cukup mudah juga, yang menunjukkan .. menampar pada beberapa mainan kontrol keamanan Tonka tidak pernah akan berhenti penyerang khusus. Ada satu kontestan yang melangkah ke piring untuk mencatat Google Chrome , tapi mungkin mengeksploitasi tidak bekerja sebagai tidak ada laporan tentang itu.

Hari dua Pwn2Own akan melihat serangan pada platform Smart-telepon - Windows 7 Mobile, iPhone 4, sebuah Obor BlackBerry 9800, dan S Nexus menjalankan Google Android. Ada beberapa kontestan mendaftar untuk setiap platform!



No comments