"Заплатки" не защитили Safari от хакеров Pwn2Own

[Cihihen]

В первый день хакерских состязаний Pwn2Own были взломаны два десктопных браузера - Safari 5 и Internet Explorer 8. Бродилке компании Apple не помогли выпущенные в последний момент обновления безопасности, сообщает ComputerWorld.

 

Длинная череда побед Чарли Миллера (Charlie Miller) над Safari была прервана: в этом году его опередили конкуренты из французской компании Vupen, пробившие защиту этого браузера за 5 секунд. IE8 пал под напором Стивена Фьюэра (Stephen Fewer) из Harmony Security, сумевшего обойти технологию Protected Mode, которая отделяет браузер от операционной системы. По условиям конкурса, победители получат по 15 тысяч долларов и ноутбуку.

 

Примечательно, что, согласно тем же условиям, участники Pwn2Own должны были взламывать последние стабильные версии браузеров со всеми выпущенными на данный момент обновлениями безопасности. Все разработчики браузеров, за исключением Microsoft, воспользовались этим, чтобы "залатать" свои продукты в последние дни перед конкурсом.

 

Apple сделала попытку защититься от участников Pwn2Own, выкатив Safari 5.0.4 и iOS 4.3 буквально в последние минуты. В Safari при этом были прикрыты 62 уязвимости, 90% из которых являются критическими; большинство этих же "дыр" устранены и в iOS.

 

Это, однако, не помогло. Как сообщил в своём микроблоге Миллер, оба подготовленных им для конкурса эксплойта для взлома Safari "пережили" обновление. Эксперты Vupen признались, что на подлатанном браузере перестали работать некоторые из их эксплойтов — но не все. Один из оставшихся и принёс французам желанную победу.

 

Организаторы Pwn2Own традиционно передают информацию об уязвимостях, которые принесли победу на конкурсе, разработчикам (предоставляя им с недавних пор лишь полгода на устранение этих "дыр"). Специалисты Microsoft заявили, что уже внимательно изучают уязвимость, которой воспользовался Фьюэр.

 

Состязания по взлому Firefox были перенесены на следующий день. Что касается Chrome - два человека заявляли об участии в конкурсе по взлому этого браузера, но они даже не попытались этого сделать. Можно лишь предположить, что обновившийся на днях до десятой версии Chrome защитился от всех подготовленных ими эксплойтов. В любом случае, спецприз от Google так никому и не достался.

 

Во второй день Pwn2Own хакеры также попытаются пробить защиту смартфонов. Чарли Миллер, от которого вчера отвернулась удача, намеревается сегодня взломать iPhone. webplanet.

[Cihihen]

Второй день Pwn2own: Firefox и Android не взломаны

 

Завершился второй день соревнования Pwn2own. Если на первом дне были продемонстрированы успешные атаки на систему через взлом браузеров Safari и Internet Explorer 8, то второй день оказался не таким ярким - успешно были взломаны только телефоны iPhone 4 и BlackBerry Torch 9800. Атаки на платформы Android и Windows Phone 7 не принесли результата. Что касается Firefox, то попытка по его взлому не удалась - конкурсант взял самоотвод, пояснив свой поступок нестабильностью работы созданного эксплоита. Завтра будут известны результаты третьего дня конкурса. 25-box