mboost-dp1

newz.dk

Sikkerhedskonference afslører fejl i flere browsere

- Via The Register - , redigeret af Emil

I Canada er der for tiden gang i sikkerhedskonferencen CanSecWest, og her har den populære Pwn2Own-konkurrence hurtigt afsløret store fejl i de mest anvendte browsere.

I Pwn2Own-konkurrencen går det ud på at bryde sikkerheden i enten Safari, Firefox eller Internet Explorer, og den opgave havde en studerende fra Tyskland sat sig for at klare, med succes. Tyskeren, der ønskede at forblive anonym, klarede ikke kun at kompromittere én af browserne, men alle tre.

Tidligere på dagen havde sikkerhedseksperten Charlie Miller, der sidste år blev kendt til den samme konference for at tiltvinge sig fjernadgang på en MacBook Air, brudt sikkerheden i Safari på få sekunder. Miller udnyttede en sikkerhedsfejl, som han opdagede sidste år, der med et enkelt URL kan give ham adgang til computeren.

Betingelserne i konkurrencen, hvor deltagerne vinder 5.000 dollars for hver sikkerhedsfejl, de finder, forbyder deltagerne at offentliggøre deres metoder, førend browserproducenterne har fået muligheden for at rette fejlene. Kun Chrome overlevede Pwn2Own-konkurrencen.





Gå til bund
Gravatar #1 - Lars Hesselberg
19. mar. 2009 11:01
Vildt, og mange penge man kan tjene, bare for at finde et hul :P

Offtopic: tastefejl i "Safara", jeg går ud fra i mener "Safari"?

Jeg trykkede på "Foreslå rettelser" men endte med at skulle indsende hele nyheden, vil ikke tage credit for det :)
Gravatar #2 - ty
19. mar. 2009 11:05
Hvor er det bare træls.

Sådan en flok lusede amatører, som hr. Egon ville have udtrykt sig.
Gravatar #3 - MiniatureZeus
19. mar. 2009 11:07
#2 Hvorfor er det træls?
Sådan som jeg ser det, er det da super godt, at folk prøver at bryde ind i de forskellige browsere, hvorefter de så kan fortælle udviklerne om det, så de bliver sikrere for slutbrugeren.

Tror aldrig, at en browser som bare har en lille markedsandel bliver uigennemtrængelig, men konkurrencer som denne kan da kun forbedre det...
Gravatar #4 - ty
19. mar. 2009 11:10
Selve ideen med at finde sikkerhedshuller er fin nok. Jeg synes bare det er træls, at browserproducenterne ikke kan lave et fejlfrit produkt (træls).

Man lever jo livet farligt på internettet. Af det antal huller, som kommer frem i lyset, hvor mange huller finder skurkene så ikke, som de kan udnytte som de lyster? Træls.
Gravatar #5 - f-style
19. mar. 2009 11:14
#4

spørgsmålet er vel om der nogensinde kan laves en 100% sikker browser uden at det skal gå ud over brugeroplevelsen?
Selv linux har sikkerhedshuller der kan udnyttes og BSD som virkeligt er meget sikkert. Problemet er jo at bare det er et svagt led i ens system så knækker kæden.
Gravatar #6 - ty
19. mar. 2009 11:28
#5

Nej, 100% er vel at forlange for meget. Men nogle af de fejl man hører om, som skyldes at programmøren har glemt at kontrollere f.eks. længen på input inden det puttes i en buffer, og dermed give hackere frit løb... det er jo bare sjusk.
Gravatar #7 - fastwrite1
19. mar. 2009 11:34
Installer Virtualbox - installer et windows system, og kør din internet herfra. Så kan det ikke gå HELT galt.

Man kan jo bare reboote eller genstarte sin vbox profil, og så er man kørende igen.

Paranoid? Ja, jeg har været på et hackerkursus. Ja, et hackerkursus, hvor du lærer at tænke som en hacker, og bruger de samme værktøjer, for at se hvor enkelt det er, og hvad du kan gøre for at træffe modforanstaltninger.


Gravatar #8 - spectual
19. mar. 2009 11:56
#5 Spørgsmålet er om det er muligt at lave et 100% fejlfrit program (det tror jeg ikke hvis programmet har en rimelig størrelse).

#6 Behøver ikke nødvendigvis at være sjusk
Gravatar #9 - Ctr
19. mar. 2009 12:46
#8 Hvad er det så? Det er meget vigtigt, at beskytte de brugere der bruger ens program. Når, at fx tjek af inputs er så vigtigt og mange "hackere" udnytter, at der ikke laves tjek? Er det så ikke sjusk/dovenskab/what so ever, når de har den viden.

Hvis det ikke er sjusk vil jeg gerne vide, hvad det ellers skal kaldes :)?
Gravatar #10 - thomasmorkeberg
19. mar. 2009 12:55
Ctr (9) skrev:
#8 Hvad er det så? Det er meget vigtigt, at beskytte de brugere der bruger ens program. Når, at fx tjek af inputs er så vigtigt og mange "hackere" udnytter, at der ikke laves tjek? Er det så ikke sjusk/dovenskab/what so ever, når de har den viden.

Hvis det ikke er sjusk vil jeg gerne vide, hvad det ellers skal kaldes :)?


Deadlines...
Gravatar #11 - Abech
19. mar. 2009 13:40
Miller udnyttede en sikkerhedsfejl, som han opdagede sidste år, der med et enkelt URL kan give ham adgang til computeren.


Vildt
Gravatar #12 - RKJ
19. mar. 2009 13:47
#tildemderbrokkersigoversikkerhedshuller
Well, så længe der ikke står, at browseren er 100% sikker, så kan det da ikke komme bag på nogen, at der er sikkerhedshuller i. Firefox, Safari og IE koster gratis.

Topic:
Mere af det - for hver fejl der kommer frem, kommer vi et skridt nærmere browsere med færre sikkerhedshuller!
Gravatar #13 - Ctr
19. mar. 2009 15:26
#10 Er det så ikke stadigvæk noget sjusk? Hvis man bare kaster noget ud for, at nå en deadline?
Gravatar #14 - case
19. mar. 2009 15:35
Ctr (13) skrev:
#10 Er det så ikke stadigvæk noget sjusk? Hvis man bare kaster noget ud for, at nå en deadline?

Jo... og dårligt design (af både apps og underliggende værktøjer). Det startede med strcpy()/strncpy() (hvis man fraregner asm) og det er kun blevet værre...
Gravatar #15 - Niversen
19. mar. 2009 17:10
MiniatureZeus (3) skrev:
#2 Hvorfor er det træls?
Sådan som jeg ser det, er det da super godt, at folk prøver at bryde ind i de forskellige browsere, hvorefter de så kan fortælle udviklerne om det, så de bliver sikrere for slutbrugeren.

Tror aldrig, at en browser som bare har en lille markedsandel bliver uigennemtrængelig, men konkurrencer som denne kan da kun forbedre det...


tror du ikke de iforvejen har rss på milw0rm ol.???
men ja... rart at få flere offentliggjort

fastwrite1 (7) skrev:
Installer Virtualbox - installer et windows system, og kør din internet herfra. Så kan det ikke gå HELT galt.

Man kan jo bare reboote eller genstarte sin vbox profil, og så er man kørende igen.


det er self rigtigt... men det er ikke en god løsning og slet ikke en nem løsning... for hvis du kører alt gennem VB så vil det også kræve at du kan alt i VB...
du har stadigt et os kørende i baggrunden som så kan brydes ind i udefra...

f.eks. vil jeg gerne spille online... så går jeg væk fra VB da den ikke understøtter fuldskærmsspil som kræver fuld adgang til mit grafikkort...
så har jeg stadig blottet min IP til andre som kan bryde ind i mit rigtige OS som jeg ikke bruger til daglig...

hvis man gerne vil være sikker så tænk dig om istedet for at klikke med på samtlige banner og andet skrammel...
Gravatar #16 - ty
19. mar. 2009 17:20
Niversen (15) skrev:
hvis man gerne vil være sikker så tænk dig om istedet for at klikke med på samtlige banner og andet skrammel...


Det er langt fra nok. Der er så mange sårbare sites, at man aldrig kan vide sig sikker på noget som helst.

Bare for at nævne én... besøger du nogensinde edbpriser.dk? De er også tidligere blevet hacket med skadeligt kode, som alle deres brugere så kunne få lov at afvikle ved besøg.

Eller lige en mere... spywarefri, som mange jo vil opfatte som et sikkert site. Etc, etc, etc.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login