mboost-dp1
Apple Inc.
IE8 blev så 2. offer - dog havde man brugt 6 uger på at finde svagheden i browseren. Og på selve Pwn2Own dagen skulle man trodsalt forsøge sig med 3 "sikkerhedshuller" før det lykkedes at bryde igennem.
Det skal også noteres at helt op til dagen idag, havde Apple (og Google) opdateret deres browser for at komme Pwn2Own-konkurrencen i forkøbet...det lykkedes så ikke for Apple. Men Chrome holder stadig stand :)
Det skal også noteres at helt op til dagen idag, havde Apple (og Google) opdateret deres browser for at komme Pwn2Own-konkurrencen i forkøbet...det lykkedes så ikke for Apple. Men Chrome holder stadig stand :)
#1 Det jo i princippet ikke interessant med Chrome, de udkom med en ny version i går.
Jeg mener, at man bør se på Chrome isoleret og betragte resultatet som et udtryk for, hvor lang tid det tager at bryde en sprit nyt version.
Alt andet ville være et falsk indtryk af den faktiske sikkerhed i Chrome.
Jeg mener, at man bør se på Chrome isoleret og betragte resultatet som et udtryk for, hvor lang tid det tager at bryde en sprit nyt version.
Alt andet ville være et falsk indtryk af den faktiske sikkerhed i Chrome.
#6 gå på lokum stik hånden i toilet tag den op og mal den hvid.. de bare ik så holdbare i lommen har det med at få og give misfarveninger
ontopic:
#4 vil det sige chrome 10 ik noget at komme med eller apple der bare var for langsomme med update hm
synes det lidt noget lort folk basher google for at udgive v10 optil... internet explorer 9 kommer først om en uges tid mon ik de har kendt til konkurencen ? hva mest fejt at update optil eller udkomme med noget en uge efter og påstå det sikkert i et år fordi det ik blev testet ...
ontopic:
#4 vil det sige chrome 10 ik noget at komme med eller apple der bare var for langsomme med update hm
synes det lidt noget lort folk basher google for at udgive v10 optil... internet explorer 9 kommer først om en uges tid mon ik de har kendt til konkurencen ? hva mest fejt at update optil eller udkomme med noget en uge efter og påstå det sikkert i et år fordi det ik blev testet ...
#7 Hvis maskinerne blev frosset for en uge siden vil Chrome v10 heller ikke være medtaget i prøven.
Det kan godt være jeg hiver det lidt fra den blå luft men er Apple kommet op på det brugerniveau hvor den ikke kan følge med? Jeg mener, Apple har aldrig haft de store problemer før i tiden, da hackere har kigget forbi Mac's og IOS enheder.
Nu når det er blevet mere populært og hackerne begynder at kigge på dem, kan Apple så følge med alle de exploits and hacks der helt åbenlyst vil blive udviklet imod dem, da de jo ikke har nogen "erfaring" inden for det?
Nu når det er blevet mere populært og hackerne begynder at kigge på dem, kan Apple så følge med alle de exploits and hacks der helt åbenlyst vil blive udviklet imod dem, da de jo ikke har nogen "erfaring" inden for det?
#4, fra arstechnica.com:
"However, to receive prize money (in addition to the hardware), the flaw must also exist in the newest release.
In VUPEN's case, the team will be winning both the hardware and the money. In spite of Apple's last-minute patch, their attack still works."
"However, to receive prize money (in addition to the hardware), the flaw must also exist in the newest release.
In VUPEN's case, the team will be winning both the hardware and the money. In spite of Apple's last-minute patch, their attack still works."
#4
Hvordan læser du den sætning? Jeg tror du læser den forkert, jeg har fjernet parentesen for at gøre det mere overskueligt for dig.
"Apple has just released Safari 5.0.4 and iOS 4.3 a few minutes before the Pwn2Own contest in an attempt to save face but failed."
De fejlede at redde deres ansigt (altså med deres opdatering).
Så tager vi parentesen:
(a last minute patch for Chrome was also released)
Chrome blev også opdatere i sidste øjeblik.
Hvordan læser du den sætning? Jeg tror du læser den forkert, jeg har fjernet parentesen for at gøre det mere overskueligt for dig.
"Apple has just released Safari 5.0.4 and iOS 4.3 a few minutes before the Pwn2Own contest in an attempt to save face but failed."
De fejlede at redde deres ansigt (altså med deres opdatering).
Så tager vi parentesen:
(a last minute patch for Chrome was also released)
Chrome blev også opdatere i sidste øjeblik.
Var det ikke også safari der røg først sidste år?
/tilføjelse
jo, hukommelsen har ikke helt svigtet endnu (:
/tilføjelse
jo, hukommelsen har ikke helt svigtet endnu (:
http://downloadsquad.switched.com/2010/03/25/pwn2own-2010-google-chrome-is-the-last-man-standing/ skrev:Safari was the first to fall, followed by Internet Explorer 8 on Windows 7. Firefox on Windows 7 x64 was also taken down, as was the iPhone's mobile Safari. Google Chrome, however, has yet to succumb.
webwarp (17) skrev:#15 yep.. hvor meget jeg end elsker Android kunne jeg godt frygte de er udsatte, de har dog måske fordelene af at A 3.0 er så ny at der ikke har været meget tid til at finde bugs.
Skal du ikke være så sikker på. iPhone var den første til at ryge sidste år. Efter blot nogle få minutter.
Men kan til gengæld ikke huske om Android var med der.
Nu kan det godt ske jeg tænker lidt for abstrakt. Men siger disse konkurrencer overhovedet noget om hvor sikre browserne rent faktisk er?
Fordi der er jo ikke 2 hackere der er ens. Og den ene kan måske formå at finde en fejl inden for 1 uge, hvor det vil tage den anden hacker 2 uger måske.
Så er det måske ikke lidt et spørgsmål om held, hvem hackerne helst vil angribe (Hvem de mest entusiastiske hackere helst vil have ned med nakken).
Det var bare lige en tanke der fløj forbi.
Fordi der er jo ikke 2 hackere der er ens. Og den ene kan måske formå at finde en fejl inden for 1 uge, hvor det vil tage den anden hacker 2 uger måske.
Så er det måske ikke lidt et spørgsmål om held, hvem hackerne helst vil angribe (Hvem de mest entusiastiske hackere helst vil have ned med nakken).
Det var bare lige en tanke der fløj forbi.
XorpiZ (11) skrev:Apple har den fordel at det underliggende system bygger på unix, så de skal "kun" bekymre sig om fejl i de programmer de selv udvikler til forskel fra Microsoft, der selv har lavet kernen i deres styresystem.
Wrong! Apple har ændret rigtig meget i Unix kernen på OSX. Blandt andet til driver håndteringen, filsystem m.m. Ikke at det er nogen svaghed for apple men jeg tror nu også at de står på egne ben hvis de blev til et oplagt mål for hackere.
#0
Jeg tror i har fået lidt galt fat i det.
Calcutor blev brugt til nedlæggelse af IE, så vidt jeg læser.
Jeg tror i har fået lidt galt fat i det.
http://www.zdnet.com/blog/security/pwn2own-2011-ie8-on-windows-7-hijacked-with-3-vulnerabilities/8367 skrev:During the contest, he set up a special web page with a link. Using the target machine, he clicked on a link and immediately launched the calculator app (calc.exe). He was also required to write to a file to prove that he got out of the low integrity mode. This proved that he got full user access to the hijacked machine.
Calcutor blev brugt til nedlæggelse af IE, så vidt jeg læser.
Nope. Det er to forskellige computer der er tale om, en er en Mac med Safari(som nyheden handler om) og det andet er en Windows maskine med IE. Calculator.app og calc.exe er åbenbart bare et standard program som folk starter for at vise de kan kører tilfældig kode.Bastardo (25) skrev:Calcutor blev brugt til nedlæggelse af IE, så vidt jeg læser.
mark. (24) skrev:Så skal det måske også lige nævnes at dem der havde meldt sig til at hacke Chrome aldrig mødte op ??
Skævvrider måske lidt resultatet når nu der slet ikke blev gået efter Chrome på dag 1..
Det er et skud ud i tågen. Jeg vil gætte på dem der skulle knække Chrome, havde brugt langtid på at finde et mulig huld. Muligvis i Flash eller ligende, men efter opdateringen til Chrome 10 opdagede de at huldet var lukket.
Hvorefter de ikke fandt nogen grund til at møde op.
done (20) skrev:Wrong! Apple har ændret rigtig meget i Unix kernen på OSX. Blandt andet til driver håndteringen, filsystem m.m. Ikke at det er nogen svaghed for apple men jeg tror nu også at de står på egne ben hvis de blev til et oplagt mål for hackere.
Oho - tak for info. Er absolut ikke ekspert i OSX :)
domaz (18) skrev:Efter blot nogle få minutter.
Om jeg fatter hvorfor folk bliver ved med at skrive "få minutter" og "5 sekunder".
Det har jo ikke taget hackeren nogle få minutter at finde et sikkerhedshul og udnytte den.
Det tog Vupen (som nyheden skriver) 2 uger at få lavet en exploit, og Stephen Fewer brugte hele 6 uger på at få lavet exploits til IE8.
done (20) skrev:Wrong! Apple har ændret rigtig meget i Unix kernen på OSX. Blandt andet til driver håndteringen, filsystem m.m. Ikke at det er nogen svaghed for apple men jeg tror nu også at de står på egne ben hvis de blev til et oplagt mål for hackere.
Her ud over kan vi jo tilføje at det er deres egen kerne. Så de heller ikke der har en 'fordel' fremfor Microsoft.
Apple har de samme problemer som alle andre.Comicom (10) skrev:Nu når det er blevet mere populært og hackerne begynder at kigge på dem, kan Apple så følge med alle de exploits and hacks der helt åbenlyst vil blive udviklet imod dem, da de jo ikke har nogen "erfaring" inden for det?
Denne gang røg Safari først. Næste gang måske IE, Chrome eller FF.
At tro du er bedre sikret med nogen af de andre browsere, p.g.a. dette, er naivt.
Så det tar' nogen gange længere tid at knække en specifik browser, end en anden. Det skifter fra gang til gang, og lige lidt hjælper det en person, når hans netbank er blevet hacket med et x måneder gammelt exploit.
Det man skal kigge på, er hvor hurtigt firmaerne er til at få rullet opdateringer ud, når hullerne er blevet opdaget. Ikke om der gik x dage mere eller mindre i en konkurrence, for en gruppe dedikerede mennesker at finde fejlen.
Hubert (30) skrev:Her ud over kan vi jo tilføje at det er deres egen kerne. Så de heller ikke der har en 'fordel' fremfor Microsoft.
Hvordan skulle det være en fordel? Hvis kernen (unix eller deres egen) var hullet som en si, så ville det være ret skidt? Det er den nu ikke, men at kernen hører til A eller B er vel ligemeget for denne konkurrence og brugeren? Eller hvor kommer fordelen ind?
Josso (29) skrev:Om jeg fatter hvorfor folk bliver ved med at skrive "få minutter" og "5 sekunder".
Det har jo ikke taget hackeren nogle få minutter at finde et sikkerhedshul og udnytte den.
Det tog Vupen (som nyheden skriver) 2 uger at få lavet en exploit, og Stephen Fewer brugte hele 6 uger på at få lavet exploits til IE8.
Jeg skrev det fordi jeg kan huske det stod i de fleste overskrifter sidste år.
Desuden skriver jeg overhovedet ikke om denne her nyhed i #18, men om det at iPhonen blev hakket sidste år. Hvilket ikke har noget med Vupen og 2 uger at gøre.
Jeg fatter ikke hvorfor folk kommenterer uden at have læst det som de kommenterer.
#29, uanset om de har brugt 2 eller 6 uger forinden på at finde huller...så er der alligevel forskel på hvor lang tid det tager på selve dagen. Det tog få minutter med Safari (på trods af at Apple nåede at opdatere browseren få dage inden) mens IE8 hackeren måtte igennem 3 forskellige exploits inkl. hacking af IE-sandboxen.
Her ville jeg logisk nok føle mig lidt mere sikker med IE8 hvis det kræver 6 uger og 3 exploits, mod det faktum at Safari-hackeren brugte 3 gange så kort "forberedelsestid" plus få minutter på et hack der endda stadig virkede på Apples nyeste sikkerhedshul-opdatering.
Her ville jeg logisk nok føle mig lidt mere sikker med IE8 hvis det kræver 6 uger og 3 exploits, mod det faktum at Safari-hackeren brugte 3 gange så kort "forberedelsestid" plus få minutter på et hack der endda stadig virkede på Apples nyeste sikkerhedshul-opdatering.
caffery (34) skrev:#29, uanset om de har brugt 2 eller 6 uger forinden på at finde huller...så er der alligevel forskel på hvor lang tid det tager på selve dagen. Det tog få minutter med Safari (på trods af at Apple nåede at opdatere browseren få dage inden) mens IE8 hackeren måtte igennem 3 forskellige exploits inkl. hacking af IE-sandboxen.
Her ville jeg logisk nok føle mig lidt mere sikker med IE8 hvis det kræver 6 uger og 3 exploits, mod det faktum at Safari-hackeren brugte 3 gange så kort "forberedelsestid" plus få minutter på et hack der endda stadig virkede på Apples nyeste sikkerhedshul-opdatering.
Jeg ville nu føle mig mindre sikker, da IE er langt mere udbredt end Safari og derfor er der langt større incitament for at prøve at bryde sikkerheden i IE.
Mr_Mo (32) skrev:Hvordan skulle det være en fordel? Hvis kernen (unix eller deres egen) var hullet som en si, så ville det være ret skidt? Det er den nu ikke, men at kernen hører til A eller B er vel ligemeget for denne konkurrence og brugeren? Eller hvor kommer fordelen ind?
Læs lige det du svarer på igen. Bemærk at der findes et ikke i samme sætning som fordel. :)
Mr_Mo (32) skrev:Hvordan skulle det være en fordel? Hvis kernen (unix eller deres egen) var hullet som en si, så ville det være ret skidt? Det er den nu ikke, men at kernen hører til A eller B er vel ligemeget for denne konkurrence og brugeren? Eller hvor kommer fordelen ind?
Fordelen kommer ved at Unix kernen kører i mange forskellige operativsystemer, AIX, SCO, Solaris m.m. som der er mange forskellige udviklere der har erfaring i hvor imod Microsoft Kernen er det kun Microsoft selv der kender. Det vil så sige at der er flere steder at hente hjælp når lukommet brænder.
caffery (34) skrev:Her ville jeg logisk nok føle mig lidt mere sikker med IE8 hvis det kræver 6 uger og 3 exploits, mod det faktum at Safari-hackeren brugte 3 gange så kort "forberedelsestid" plus få minutter på et hack der endda stadig virkede på Apples nyeste sikkerhedshul-opdatering.
Hvis du læste lidt i tråden havde du måske bemærket at folk nævner, at konfigurationen på maskinerne blev "frosset" en uge før konkurrencen startede. Derved er hverken Chrome's eller Safari's opdateringer med.
#38, hvis du nu fulgte lidt med i tråden og nyheden, så vil du opdage at for at få udbetalt præmierne, så skulle exploitet OGSÅ virke med den nyeste browseropdatering...og det gjorde Safari-hacket, selv efter den nye opdatering.
#35, nu bruger jeg Chrome til dagligt men jeg ville nok ikke føle mig helt sikker med hverken IE8 eller Safari. Synes dog at have læst mig frem til at flere af Apple's produkter viser en bekymrende mangel på sikkerhed (Safari, Quicktime, iPhone osv.) - og der tror jeg så at på trods af IE's store udbredelse..så er Microsoft bedre rustet til at håndtere sikkerhed end Apple.
#35, nu bruger jeg Chrome til dagligt men jeg ville nok ikke føle mig helt sikker med hverken IE8 eller Safari. Synes dog at have læst mig frem til at flere af Apple's produkter viser en bekymrende mangel på sikkerhed (Safari, Quicktime, iPhone osv.) - og der tror jeg så at på trods af IE's store udbredelse..så er Microsoft bedre rustet til at håndtere sikkerhed end Apple.
Hubert (36) skrev:Læs lige det du svarer på igen. Bemærk at der findes et ikke i samme sætning som fordel. :)
I siger, at hvis kernen er lavet af nogen andre er det fordel fremfor at det er lavet af dem selv. Jeg spørger hvorfor, kan du svare på det?
done (37) skrev:Fordelen kommer ved at Unix kernen kører i mange forskellige operativsystemer, AIX, SCO, Solaris m.m. som der er mange forskellige udviklere der har erfaring i hvor imod Microsoft Kernen er det kun Microsoft selv der kender. Det vil så sige at der er flere steder at hente hjælp når lukommet brænder.
Igen om kernen hører til A eller B er ligemeget. Hvis MS er bedre til at rette fejl end dem du nævner, så er det faktisk en ulempe. Nu siger jeg ikke, at det forholder sig sådan, men dit udsagn er også baseret på en antagelse. Derudover kunne MS jo have solgt deres kerne til andre OS'er. Så ville det stadig være deres egen kerne og MS kunne drage den samme fordel, selvom de har lavet deres egen kerne.
Mr_Mo (41) skrev:I siger, at hvis kernen er lavet af nogen andre er det fordel fremfor at det er lavet af dem selv. Jeg spørger hvorfor, kan du svare på det?
Jeg har åbenbart ikke udtrykket mig godt nok. Jeg har ikke taget stilling til hvorvidt det er en fordel at det er en kerne de selv har lavet eller om det er en kerne andre har lavet. Der skal du helt tilbage til #11
Så er de begyndt på mobilerne. Og Iphone4 var det første offer. Ved at gå ind på en simpel webside kunne Charlie Miller få adgang til mobilens adressebog. Dette kunne han både i iOS 4.2.1 og i den nye iOS 4.3 så han vandt både hardware og pengepræmien.
Derudover blev en Blackberry hacket, lidt på samme måde som iPhone4 men det havde åbenbart været meget svært at finde den exploit.
Firefox hackeren trak sig da han ikke følte hans exploit var stabil nok - og dem der skulle hacke Android og Windows Phone 7 dukkede ikke op.
Så pt. er Chrome browseren, Android og WP7 "undefeated".
Derudover blev en Blackberry hacket, lidt på samme måde som iPhone4 men det havde åbenbart været meget svært at finde den exploit.
Firefox hackeren trak sig da han ikke følte hans exploit var stabil nok - og dem der skulle hacke Android og Windows Phone 7 dukkede ikke op.
Så pt. er Chrome browseren, Android og WP7 "undefeated".
På første dagen er Flash ikke installeret. Så det kan ikke være dét. På 1. dagen må man kun bruge huller i browseren, så de browsers der bliver hacket i løbet af den første dag, er de mest usikre.Skak2000 (27) skrev:mark. (24) skrev:Så skal det måske også lige nævnes at dem der havde meldt sig til at hacke Chrome aldrig mødte op ??
Skævvrider måske lidt resultatet når nu der slet ikke blev gået efter Chrome på dag 1..
Det er et skud ud i tågen. Jeg vil gætte på dem der skulle knække Chrome, havde brugt langtid på at finde et mulig huld. Muligvis i Flash eller ligende, men efter opdateringen til Chrome 10 opdagede de at huldet var lukket.
Hvorefter de ikke fandt nogen grund til at møde op.
At ingen har meldt sig ( / mødt op) til at hack Chrome er bare et tegn på at Chrome er sikker. (Dog ikke ligeså sikker som FF + NoScript på en platform med både ASLR & DEP ;P)
Hvorfor gør det en forskel om browseren er blevet opdateret dagen før?
Hvis en udgave udgivet dagen før sådan en konkurrence typisk er mere sikker end udgaverne udgivet resten af året, så kan brugerne jo blot holde sig til de udgaver og kun opdatere en gang om året.
Jeg tror dog ikke det forholder sig sådan. Det lyder mere sandsynligt at udgaverne udgivet kort efter sådan en konkurrence er mere sikre.
Hvis deltagerne faktisk har fundet huller, som andre ikke kender, så kan de vente med at offentliggøre dem. Så vil de jo sandsynligvis stadigvæk findes i den nye udgave, og man vil i de fleste tilfælde højst skulle ændre et par offsets i sin exploit kode for at udnytte dem.
Hvis en udgave udgivet dagen før sådan en konkurrence typisk er mere sikker end udgaverne udgivet resten af året, så kan brugerne jo blot holde sig til de udgaver og kun opdatere en gang om året.
Jeg tror dog ikke det forholder sig sådan. Det lyder mere sandsynligt at udgaverne udgivet kort efter sådan en konkurrence er mere sikre.
Hvis deltagerne faktisk har fundet huller, som andre ikke kender, så kan de vente med at offentliggøre dem. Så vil de jo sandsynligvis stadigvæk findes i den nye udgave, og man vil i de fleste tilfælde højst skulle ændre et par offsets i sin exploit kode for at udnytte dem.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund