Żadna z przeglądarek internetowych nie jest bezpieczna

W tym roku organizatorzy wydarzenia "Pwn2Own" wypłacili rekordową ilość nagród finansowych za znalezienie luk w zabezpieczeniach popularnych przeglądarek. W sumie hakerzy zarobili podczas imprezy 850 tysięcy dolarów.

Firefox był ulubionym celem hakerów podczas imprezy Pwn2Own: jedna trzecia wszystkich wskazanych luk w zabezpieczeniach dotyczyła właśnie tej przeglądarki. Jedną z osób, która wykryła w niej usterkę (i zarobiła dzięki temu 50 tysięcy dolarów) był George „Geohot” Hotz, który zasłynął swego czasu złamaniem zabezpieczeń systemów iOS i tego wbudowanego w konsolę PlayStation 3. To jednak nie oznacza, że inne przeglądarki internetowe poradziły sobie lepiej.

Największą ilość usterek wskazała francuska firma Vupen, która po pierwszym dniu konkursu miała w swojej kieszeni 300 tysięcy dolarów, a po drugim dodatkowe sto tysięcy. Pełna lista zwycięzców i wykrytych przez nich luk poniżej:

Vupen:

  • Pominięcie sandboxu Internet Explorera by wykorzystać usterkę w Adobe Flash, pozwalającą na zdalne wykonanie złośliwego kodu
  • Złamanie zabezpieczeń Adobe Readera, co pozwala na zdalne wykonanie złośliwego kodu
  • Ominięcie zabezpieczeń sandboxowych Internet Explorera, co pozwala na zdalne wykonanie złośliwego kodu
  • Ominięcie zabezpieczeń Firefoxa, co pozwala na zdalne wykonanie złośliwego kodu
  • Ominięcie zabezpieczeń sandboxowych Chrome’a, zarówno przy wykorzystaniu silnika WebKit, jak i Blink, co pozwala na zdalne wykonanie złośliwego kodu

Sebastian Apelt i Andreas Schmidt

  • Wykrycie usterek w Internet Explorerze

Liang Chen z zespołu Keen Team

  • Wykrycie usterki w Safari i ominięcie zabezpieczeń Sandboxowych, co pozwala na zdalne wykonanie złośliwego kodu

George Hotz

  • Ominięcie zabezpieczeń Firefoxa, co pozwala na zdalne wykonanie złośliwego kodu

Zeguang Zhao z zespołu team509 i Liang Chen z Keen Teem

  • Ominięcie zabezpieczeń sandboxowych w Adobe Flash, co pozwala na zdalne wykonanie złośliwego kodu

Anonimowy uczestnik:

  • Ominięcie zabezpieczeń przeglądarki Chrome, co pozwala na zdalne wykonanie złośliwego kodu. Przyznano tylko połowiczną nagrodę z uwagi na to, że by złamać zabezpieczenia tej przeglądarki wykorzystano wiedzę zaprezentowaną już podczas konkursu

Dodatkowo, wykryto usterkę w Internet Explorerze, ale uczestnik nie zdążył jej wykorzystać w zadanym przez organizatorów czasie.

0
Źródło: PWN2OWN
Zamknij

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.