mboost-dp1

Google

Chrome blev hacket først på Pwn2Own

- Via The Verge -

Googles Chrome-browser ser ud til at have været et prestigefyldt mål ved dette års udgave af Pwn2Own-konkurrencen, hvor det gælder om at udnytte sikkerhedshuller i browsere, eftersom browserens sikkerhed slet ikke blev knækket sidste år.

Det blev ikke tilfældet denne gang, idet Chrome var den første browser, som blev hacket, og det skete inden for de første fem minutter. Holdet, der formåede at knække browseren, kalder sig Vupen, og det er samme hold, som sidste år formåede at hacke Apples Safari-browser.

Vupen udnyttede to fejl i browseren, som indtil da havde været ukendte. En af fejlene blev udnyttet ved, at man besøgte en hjemmeside lavet til lejligheden, og da dette skete, blev Windows’ lommeregner startet uden for browserens sandbox.

Pwn2Own startede i går og slutter i løbet af i morgen. Konkurrencen finder sted i Vancouver, Canada.





Gå til bund
Gravatar #1 - TormDK
8. mar. 2012 09:04
Ouch.
Gravatar #2 - f-style
8. mar. 2012 09:05
Så er det jo godt at google spytter flere penge i projektet for at få fundet sikkerhedshuller, så hackere gider at gøre forsøget.
Det er jo kun godt at browsernes sikkerhed bliver bedre og bedre. Det kommer jo os allesammen til gode.
Gravatar #3 - initram
8. mar. 2012 09:12
#2 hvis du læste nyheden om at google er stoppet som sponsor af pwn2own, så ved du også at de ikke længere behøver at oplyse om de sikkerhedshuller de har fundet. Så det er ikke sikkert at det kommer os alle til gode.
Gravatar #4 - Cookiemann
8. mar. 2012 09:14
var det ikke Google der ville give 1 mio US$ til dem der kunne hacke deres browser?
Gravatar #5 - Lowkey
8. mar. 2012 09:15
#3

Så har de til gengæld noget andet i stedet.
Det er tilknyttet Chromium, der modsat Chrome er open source.

Og der er lige en fyr der har vundet $60K.
Gravatar #6 - blacktiger
8. mar. 2012 09:19
#4 Op til en million
Gravatar #7 - Fashdey
8. mar. 2012 09:20
#3 hvis du så læser i bunden af linket fra #5

Originally, our plan was to sponsor as part of this year’s Pwn2Own competition. Unfortunately, we decided to withdraw our sponsorship when we discovered that contestants are permitted to enter Pwn2Own without having to reveal full exploits (or even all of the bugs used!) to vendors. Full exploits have been handed over in previous years, but it’s an explicit non-requirement in this year’s contest, and that’s worrisome. We will therefore be running this alternative Chrome-specific reward program. It is designed to be attractive -- not least because it stays aligned with user safety by requiring the full exploit to be submitted to us. We guarantee to send non-Chrome bugs to the appropriate vendor immediately.

Forstår egentlig godt at de trækker sig.
Gravatar #8 - fennec
8. mar. 2012 09:23
Det fede ved Pwnium er:
$20,000 - “Consolation reward, Flash / Windows / other”: Chrome / Win7 local OS user account persistence that does not use bugs in Chrome. For example, bugs in one or more of Flash, Windows or a driver. These exploits are not specific to Chrome and will be a threat to users of any web browser. Although not specifically Chrome’s issue, we’ve decided to offer consolation prizes because these findings still help us toward our mission of making the entire web safer.


Selv bugs der ikke har noget med Chrome at gøre, bliver belønnet med $20K
Gravatar #9 - Manofsciencemanoffaith
8. mar. 2012 09:45
Lommeregnerudvidelse?

Nu ser vi så bagdelen af, at Chrome både er en browser og et "OS"/applikations butik.

Edit: Jeez https://chrome.google.com/webstore/search/calculat...
Gravatar #10 - Rainmeter
8. mar. 2012 09:54
Hvor finder jeg den omtalte lommeregner?
Gravatar #11 - f-style
8. mar. 2012 10:16
#9
Nej problemet er at der åbenbart skal rettes i nogle rettigheder eller noget med deres sandboxing. For fejlen ligger jo i at der gives adgang til noget som ikke skulle være muligt og derfor er et exploit (udnyttelse).
Desuden kan man vidst (er ikke 100% sikker) blive berørt hvis man har den lommeregner installeret?
Gravatar #12 - RMJ
8. mar. 2012 11:35
Alt for sejt, der skulle være mere at sådan noget. Forhåbeligt finder de flere fejl. Sådan Chrome kan blive endnu mere sikker.

Chrome er ihvertfald den bedste browser jeg har brugt i langtid. Men okay, der skal jo egenligt heller ikke meget til at være bedre end internet explore kan man jo sige.
Gravatar #13 - Manofsciencemanoffaith
8. mar. 2012 12:35
Andre siger det var Windows's lommeregner der blev startet: http://www.version2.dk/artikel/ihaerdige-hackere-s...
Gravatar #14 - Cloud02
8. mar. 2012 13:27
#12
Du får en irrelevant fordi
1) pwn2own er gammel og der allerede findes flere af den slags konferencer.
2) IE er meget sikker. At den er langsom er en helt anden diskussion.
Gravatar #15 - lindysign
8. mar. 2012 14:54
Super, at vi lige fik denne nyhed, så vi kan debattere browsersikkerhed mere nuanceret, end "Chrome er bare den mest sikre browser i verden"...

ALT software har fejl og huller (altså når det har en hvis størrelse og kompleksitet), og sådan er det bare.

Til gengæld, så synes jeg også, at Googles metode, med at betale nogle hackere for at finde disse huller, er en rigtig god ide. At outsource testen på den måde, kan garanteret godt betale sig. :-)
Gravatar #16 - OnkelDunkel
8. mar. 2012 16:01
#13
Det ser ud til, at kilderne er uenige, men ZDNet, som har snakket med Vupe, nævner Windows' lommeregner, så de har nok ret. Jeg har rettet nyheden.
Gravatar #17 - Nicolai
8. mar. 2012 17:23
"og det skete inden for de første fem minutter" - og så læste jeg ikke mere.

De personer som stadig ikke har fattet at tidsfaktoren ikke er en væsentlig rolle (så længe det ikke er noget "egg hunt" som tager flere minutter) skal IKKE skrive sådan nogle her nyheder.. I trækker Newz ned på EB niveau :/

Og de personer som ikke forstår at "starte calc" er farligt ... !%#&
Gravatar #18 - hyænen
9. mar. 2012 10:45
TormDK (1) skrev:
Ouch.


Årh så hold dog kæft.
Gravatar #19 - XorpiZ
9. mar. 2012 17:18
hyænen (18) skrev:
Årh så hold dog kæft.


U mad?
Gravatar #20 - hyænen
10. mar. 2012 16:14
XorpiZ (19) skrev:
U mad?


U poorly educated?
Gravatar #21 - XorpiZ
10. mar. 2012 16:22
Why u no make sense?
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login