Французская компания безопасности Vupen – которую в прошлом критиковали за продажу эксплоитов правительствам – снесла защиту IE10 на планшете Surface Pro под управлением Windows 8, и также уложила Firefox на Windows 7.
Больше всего усилий потребовал первый взлом. Для его осуществления потребовалось использовать пару отдельных уязвимостей “нулевого дня” и обход песочницы. Но и приз за этот взлом впечатляет – целых $100000.
В отличие от прошлого года, из-за смены правил конкурса, Vupen раскрыла всю информацию о том, как производился взлом, чтобы можно было закрыть уязвимости.
В тоже время Firefox пал жертвой эксплоита нулевого дня, который обошел рандомизацию адресного пространства (ASLR) браузера и защиту предотвращения выполнения данных (DEP) в Windows. За вторую атаку хакеры получили еще $60000.
Также в первый день под натиском пары хакеров из MWR Labs пал жертвой Chrome 25. Хакеры использовали уязвимость в браузере, чтобы выполнить код, и уязвимость в ядре Windows для увеличения системных привилегий по исполнению кода на машине. Это принесло им $100000. Интересно, но перед самым началом конкурса Google закрыл в своем браузере 10 уязвимостей.
Лишь один браузер смог пережить этот конкурс без взлома, но это совсем мне говорит о его безопасности. Ни один из исследователей в этом году не направил свою силу против Safari под OS X. Хотя в прошлых годах браузер от Apple становился жертвой хакеров одним из первых. И в этом году за взлом Safari был обещан приз в $65000. Но то ли Safari больше не интересен хакерам, то ли приз показался им слишком маленьким – не ясно.
На второй день конкурса Pwn2Own Джордж Хотз (George Hotz) заработал $70000 за взлом Adobe Reader, компания Vupen взломала Flash и заработала еще $70000, и трижды различными компаниями был взломан Java, что принесло по $20000 за каждый взлом.
К концу конкурса было роздано как минимум $420000 из призового фонда в $560000, что является почти полной победой хакеров.
К слову, с 6 по 8 марта на конференции безопасности CanSec West компания Google провела свой третий хакерский конкурс Pwnium. В этом году Pwnium 3 был ориентирован не на браузер от Google, а на операционную систему Chrome OS. Поисковый гигант пообещал наград на сумму свыше $3 миллионов.
Награды можно было получить за два различных уровня взлома: $110000 за взлом браузера или системы в гостевом режиме или в режиме вошедшего пользователя, осуществленный посредством веб-страницы, и $150000 за взлом на основе уязвимостей самого устройства.
Однако, по словам представителя Google, победить на Pwnium 3 никто так и не смог, хотя, возможно, частично это связано с незавершенностью или ненадежностью эксплоитов.
Комментарии (0)