mboost-dp1

Google

Alle de store browseres sikkerhed knækket ved Pwn2Own 2013

- Via HP Security Research Blog -

Ved dette års Pwn2Own-konkurrence blev sikkerheden knækket i både Chrome, Firefox og Internet Explorer på den første dag. Derudover er også den seneste udgave af Java blevet brudt.

Programmet for den første dag bød på 3 sikkerhedsbrud af Java, 1 af IE 10, 1 af Chrome og 1 af Firefox. Dermed resulterede alle dagens events altså i, at hackerne vandt over sikkerheden i de forskellige programmer.

På andendagen skal Adobe-programmerne Flash og Reader udsættes for hackernes arbejde, og det samme skal IE 10 igen.

Konkurrencen tilbyder præmier på $100.000 for at bryde sikkerheden på Google Chrome på Windows 7 eller IE 10 på Windows 8, mens IE 9 på Windows 7 giver $75.000 og Firefox på samme operativsystem giver $60.000. Brydes sikkerheden i Safari på OS X 10.8 vinder man $65.000, og derudover tilbydes $70.000 for at bryde sikkerheden i Adobe Reader XI eller Adobe Flash, mens brud på sikkerheden i Java giver $20.000. Alle programmer og operativsystemer skal altid være fuldt opdaterede.

Pwn2Own bedømmer et succesfuldt hack ved, at der kan eksekveres kode uden for browseren, efter den har besøgt en ondsindet hjemmeside, som hackere har udviklet til netop dette formål.





Gå til bund
Gravatar #1 - amaby
7. mar. 2013 17:51
Så det lykkedes ikke med Safari eller hvad? Syntes ikke at kunne se det i kilden heller.
Gravatar #2 - _alligned_malloc
7. mar. 2013 17:55
amaby (1) skrev:
Så det lykkedes ikke med Safari eller hvad? Syntes ikke at kunne se det i kilden heller.


Safari var slet ikke mål i konkurrencen.
Gravatar #3 - amaby
7. mar. 2013 17:58
_alligned_malloc (2) skrev:
amaby (1) skrev:
Så det lykkedes ikke med Safari eller hvad? Syntes ikke at kunne se det i kilden heller.


Safari var slet ikke mål i konkurrencen.


Nyhed skrev:
Brydes sikkerheden i Safari på OS X 10.8 vinder man $65.000
Gravatar #4 - OnkelDunkel
7. mar. 2013 18:15
#1
Når deltagerne melder sig til konkurrencen, skal de fortælle, hvilket program de vil hacke. Selvom der er en præmie for Safari, er der vist ingen, der har meldt sig til at hacke den i år. Det er selvfølgelig ikke til at vide, om det er fordi, de ikke gider hacke den, om det er fordi, Safaris sikkerhed er blevet for god (lidt usandsynligt da den er blevet knækket først flere år i træk), eller noget helt tredje.
Gravatar #5 - morsing
7. mar. 2013 18:18
#4 Skulle til at skrive det samme, det ser ikke ud til der er nogen der har skrevet sig op til konkurrencen.

Her er schedule:
Wednesday:

1:30 - Java (James Forshaw) PWNED
2:30 - Java (Joshua Drake) PWNED
3:30 - IE 10 (VUPEN Security) PWNED
4:30 - Chrome (Nils & Jon) PWNED
5:30 - Firefox (VUPEN Security) PWNED
5:31 - Java (VUPEN Security) PWNED


Thursday:

12pm - Flash (VUPEN Security)
1pm - Adobe Reader (George Hotz)
2pm - IE 10 (Pham Toan)

George Hotz kendt for sine iOS og PS3 hacks er åbenbart også med i år.
Gravatar #6 - SecretSilence
7. mar. 2013 18:21
morsing (5) skrev:
#4 Skulle til at skrive det samme, det ser ikke ud til der er nogen der har skrevet sig op til konkurrencen.

Her er schedule:
Wednesday:

1:30 - Java (James Forshaw) PWNED
2:30 - Java (Joshua Drake) PWNED
3:30 - IE 10 (VUPEN Security) PWNED
4:30 - Chrome (Nils & Jon) PWNED
5:30 - Firefox (VUPEN Security) PWNED
5:31 - Java (VUPEN Security) PWNED


Thursday:

12pm - Flash (VUPEN Security)
1pm - Adobe Reader (George Hotz)
2pm - IE 10 (Pham Toan)

George Hotz kendt for sine iOS og PS3 hacks er åbenbart også med i år.

Tak for listen!
OT:
Vi må da håbe at de får et jobtilbud? ;)
Gravatar #7 - SecretSilence
7. mar. 2013 18:22
Jeg er forfærdelig til at rette indlæg
Gravatar #8 - stekkurms
7. mar. 2013 19:59
OnkelDunkel (4) skrev:
Når deltagerne melder sig til konkurrencen, skal de fortælle, hvilket program de vil hacke.
Er der nogen grund til ikke at melde sig til og sige at man vil bryde dem alle?
Gravatar #9 - syska
7. mar. 2013 20:42
stekkurms (8) skrev:
Er der nogen grund til ikke at melde sig til og sige at man vil bryde dem alle?


Måske fordi de andre er nemmere :-) Man mangler måske også tid hvis man tilmelder sig alle ... lader næsten til at foregå på samme tid.
Gravatar #10 - loddo
7. mar. 2013 21:07
#8 Heh, godt spørgsmål :) Måske er det et spørgsmål om ære? pfft.. Så vidt jeg husker, så har tidligere konkurrencer prioriteret de bedste hacks så, hvis du sidder med et crappy besværligt hack, så er der vel ingen grund til at bruge tid på det, hvis du har et hack som er 12 gange bedre til java?

On topic, så undrer det mig en del, at ingen arbejder med Safari :/ Jeg er tendenserende fanboi efter nogle års brug af mac, og ser egentlig helst at sikkerheden bliver brudt. Hvis den bliver brudt, så kræver det vel at Apple lægger mere energi i sikkerhed, plus de "får" viden om et brist i sikkerheden. Det må da være totalt pinligt, hvis det er fordi ingen GIDER bruge tid på at hacke Safari ;)
Gravatar #11 - FlameBait
7. mar. 2013 21:17
loddo (10) skrev:
On topic, så undrer det mig en del, at ingen arbejder med Safari :/


Tror det er for let, man går vel efter guldet først...
Gravatar #12 - stekkurms
7. mar. 2013 21:19
loddo (10) skrev:
Det må da være totalt pinligt, hvis det er fordi ingen GIDER bruge tid på at hacke Safari
65000$ burde kunne motivere nogen til at gå efter den. Apple vil nok prøve at argumentere for at det er fordi sikkerheden i Safari er så god. Men jeg er enig med #4 i at det lyder usandsynligt at Safari fra det ene år til det næste skulle gå fra at være den letteste at angribe til at være den sværeste.
Gravatar #13 - loddo
7. mar. 2013 21:30
#11 372.443 kr burde da være okay.. Altså når det alligevel er så let ;) Men igen, hvis de alle er forgyldte i forvejen, og der kun er 5-6 deltagere til ALLE præmierne, så er der jo ingen der gider kigge på de småpenge.

Btw er jave da allerede hacket, og det var da $20.000, så dit argument does not compute.

#12 De har gentagende gange slået Java fra per default, og Safari har set en del opdateringer over det sidste års tid, men ja.. Det er weird stuff.
Gravatar #14 - Æblemos
7. mar. 2013 21:38
#8+9: De fleste nyhedssider plejer at misinformerer enormt meget ang Pwn2Own, men lige for at få det helt på plads: der er ingen som melder sig til, uden allerede at have fundet et hul i en af browserne. Det kan være at deres exploit kode ikke er 100% skrevet færdig eller ikke er helt pålidelig, men på dagen møder de op med et færdigt exploit.

At finde et hul og skrive et exploit tager flere uger eller måneder, selv for de allerbedste. Hvis man melder sig til at "hacke" en browser, uden allerede at have fundet et hul, så kommer man til at faile, det er helt sikkert.

#10: Safari har nogle ret dårlige design valg hvad angår sikkerhed, så det undre også mig hvorfor ingen har afsløret huller i den, men det kunne måske være fordi prisen er for lav. Både Chrome (på Win7) og IE (på Win8) giver hver $100,000, mens Safari (på OS X) 'kun' giver $65,000. På samme tid har der været meget malware rettet mod Macs på det seneste (diverse skumle regeringer som vil lukke munden på bloggers/journalister/kritikere), så det kunne tænkes at prisen for et Safari exploit på det sorte markede, er meget høj for tiden (så hvis man havde et exploit, hvorfor ikke sælge det og få 2x, 4x, 8x, ?? gange flere penge)
Gravatar #15 - loddo
7. mar. 2013 21:53
#14 Jeg havde forståelsen af, at ALT altid blev hacket til disse konkurrencer?

Kan godt lide dit argument med det sorte marked, men ville det ikke også gælde for de andre? ;)
Gravatar #16 - carbonic
7. mar. 2013 22:08
Det kunne vel også tænkes at grunden til at der ikke er så mange der hacker Mac's er at det kræver at hackerne rent faktisk har en Mac + MacOS. Man kan sige meget dårligt og godt om Mac, men tror ikke de henvender sig til den typiske hacker.
Gravatar #17 - loddo
7. mar. 2013 22:13
#16 jeg tror ikke, at folk der deltager i denne konkurrence er fattige nørder fra gaden. Tror de kan deres kram, og at de har penge til hardware :) Kig eks på wikisiden over tidligere hacks.. nogle af historierne er ret nice, og fortæller også om samarbejde af flere parter. Det burde være muligt at opstøve en nørd eller to med en mac ;)
Gravatar #18 - carbonic
7. mar. 2013 22:23
#17 Jeg siger ikke de er fattige, og ikke har råd til hardware.
Jeg siger at de rent demografisk/ideologisk/emperisk ikke passer ind i med de mennesker der arbejder med Mac's til hverdag.
Det betyder ikke at der ikke sidder folk at prøver at hacke på Mac's - men at der ikke er så mange der gør det må så betyde at chancen for at der er nogen der stiller op i den disiplin er det meget mindre.
Gravatar #19 - morsing
7. mar. 2013 22:25
#17

De fleste der stiller op til konkurrencen vil jeg umiddelbart sige stiller op for at promovere sig selv og deres firmaer. VUPEN Security fx er jo et firma der specialiserer sig i at sælge diverse hacks til firmaer og nationalstater. Pengene som de tjener på en konkurrence som Pwn2Own er håndører sammenlignet med det de tjener på sælge deres hacks bagefter, desuden tror jeg simpelthen ikke Safari er værdifuld nok til at bruge tid på den. Ikke på grund af præmiesummen sammenlignet med de andre browser, men på grund af at Safari ikke er særligt anvendt af de folk som deres hacks er rettet imod.

Der udover er det stadig muligt at stille op, så vidt jeg har forstået. Så browseren bliver måske alligevel hacket en af dagene.
Gravatar #20 - loddo
7. mar. 2013 22:35
#18 Argumentet for, at færre bruger det, så derfor er chancen for hacks mindre, burde ikke give mening. Modargumentet: "Fordi færre bruger det, så er der større chance for at vinde", men jeg ser hvad du mener.. Der er KLART flere som roder med windows ;) No doubt.

#19 Jeg kendte ikke til VUPEN Security, men har kigget lidt på dem nu :) Det var min klare overbevisning, at det var random folk der stillede op, jeg har har aldrig fuldt konkurrencen, så nu er jeg lidt klogere. De er alligevel pænt aktive.
Gravatar #21 - Pts99
8. mar. 2013 05:19
Det kunne jo være at de uofficielt har boykottet safari? Hvis apple har lavet noget gøgl fornylig igen, der har strøget hackerne mod hårende, så vil det være muligt at de bare har sagt "fuck it".

Ellers ser jeg ingen grund til at sige nig til 65.000 gryn,
Gravatar #22 - ShamblerDK
8. mar. 2013 05:52
#21: "Strøget hackerne mod hårene"? Hvad er det helt præcist for noget "gøgl" de skulle ha' lavet? De har jo ikke evnet, på noget tidspunkt, at gøre det svært for hackerne? Det kommer de sandsynligvis heller aldrig til. I de foregående Pwn2Own events er Safari jo bukket under på minutter...

Jeg tror langt mere på, det er, som #14 siger.
Gravatar #23 - webwarp
8. mar. 2013 07:15
#21 100.000 > 65.000 ..? Så er næste konkurrence, hvem der så fixer fejlene, som jo måske reelt er det mest kritiske..
Gravatar #24 - Pts99
8. mar. 2013 07:43
webwarp (23) skrev:
#21 100.000 > 65.000 ..? Så er næste konkurrence, hvem der så fixer fejlene, som jo måske reelt er det mest kritiske..


jaja, men de HAR jo brudt de store gevinster, så hvorfor ikke hive 65k ekstra med hjem?
Gravatar #25 - stekkurms
8. mar. 2013 10:08
carbonic (16) skrev:
Man kan sige meget dårligt og godt om Mac, men tror ikke de henvender sig til den typiske hacker.
Eftersom Mac OS X er et Unix system vil jeg mene den ligger højere end Windows hvad det angår.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login