*
 
AfterDawn: IT-alan uutiset

Pwn2Own: Safari, Firefox ja IE8 murtuivat heti kättelyssä

Kirjoittaja Kaarlo Räihä @ 25.3.2010 12:23 Kommentteja (30)

Pwn2Own: Safari, Firefox ja IE8 murtuivat heti kättelyssä CanSecWest-tietoturvatapahtumassa järjestettävä Pwn2Own-kisa tarjosi heti ensimmäisenä päivänä suru-uutisia selainkehittäjille, kun sekä Safari-, Firefox- että Internet Explorer -selaimet murrettiin.
Kisan sääntöjen mukaisesti hyökkäyskoodia ei saa julkaista, joten hyväksikäytetyistä tietoturva-aukoista ei ole toistaiseksi tarkempaa tietoa. Tapahtuman järjestäjät kertovat löydetyistä aukoista suoraan selaimien kehittäjille, jotka voivat sitten korjata selaimien mahdolliset ongelmat. Kun tietoturva-aukko on korjattu, antavat kisan järjestäjät siitä sitten tarkempaa tietoa.

Safarin kohdalla tietoturvan mursi Charlie Miller, joka on tehnyt saman tempun kahtena edellisenä vuotena. Firefoxin suojaukset ohitti puolestaan Nils-nimen taakse piiloutuva saksalainen hakkeri, joka ohitti samassa rytäkässä myös Windows-käyttöjärjestelmien ALSR- (Address Space Layout Randomization) ja DEP-suojaukset (Data Execution Prevention), joiden pitäisi hankaloittaa puskuriylivuotojen väärinkäyttöä. Nilsin mukaan Firefoxin kehittäjät voisivat parantaa ALSR-suojauksen käyttöä selaimessaan.

DEP-suojauksen ohitti myös Peter Vreugdenhil, jonka kohteena oli Internet Explorer 8 -selain. Kaikki kolme saavat vaivannäöstään palkinnoksi 10 000 dollaria.

Kisassa mukana olevista selaimista Googlen Chrome oli ainoa, jota ei murrettu ensimmäisen päivän aikana.

Edellinen Seuraava  

30 kommenttia

125.3.2010 13:55

Crhomen hiekkalaatikko on vielä liikaa kräkkereille? Muistan aikaisemmin kuulleeni, että joku kehittäjä löysi tietoturva-aukon, mutta ei tiennyt, mitä sillä tekisi. Tämä siis koska tarvisi toisen haavoittovuuden, jolla pääsisi ulos sieltä hiekkalaatikosta.

225.3.2010 13:58

Vaihdoin vuodenvaihteessa Firefoxista Chromeen kun huomasin että Chrome on yksinkertaisesti mennyt Firefoxin ohi.
En selvästikään ollut väärässä.

325.3.2010 14:42

LOL

Lainaus:
Kisassa mukana olevista selaimista Googlen Chrome oli ainoa, jota ei murrettu ensimmäisen päivän aikana.
Melkoista uutisointia Afterdawnilta, aivan niinkuin ennustelinkin niin Chrome uutisointi käännetään keinolla millä hyvänsä positiiviseksi, eli tässä tapauksessa kerrotaan siitä kuinka Chromea ei murrettu, mutta "unohdetaan" kertoa tämän johtuvan siitä että ensimmäisenä päivänä kukaan ei edes yrittänyt murtaa Chromea!!

http://twitter.com/thezdi

Lainaus:
Wrapping up for the day. Chrome remains untested and therefore the only browser left standing.

Lukitsematonkin ovi pysyy kiinni ellei kukaan yritä avata sitä.
Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 25.3.2010 @ 14:43

425.3.2010 15:05

Luuletko perhana, että kukaan ei kotonaan ollut yrittänyt murtaa tuota? Eihän porukka mielellään tuolla paikan päällä tee sellaista, minkä ei tiedä toimivan. Sitten kun muut kategoriat on käyty, niin yliajalla varmaan kokeilevat jotain.

525.3.2010 15:07

Eikö Opera ole mukana?

625.3.2010 15:55

Joo mites se Opera... miksei siitä mainita yhtään mitään?

725.3.2010 16:01

Chrome ollu käytössä täyspäiväsesti suunnilleen siitä asti ku on lisäosat ollu mukana (vähän ennen sitä) :)

825.3.2010 16:44

Chromeen rss -reader niin alkaa asiat olemaan kunnossa.

925.3.2010 16:55

Oi että toi chrome on hjuva mut en uskonu et NÄIN hyvä

1025.3.2010 17:10

Odotettu tulos.

1125.3.2010 17:22

Lainaus, alkuperäisen viestin kirjoitti __int64:
Chromeen rss -reader niin alkaa asiat olemaan kunnossa.
Chrome Extensions - Haku: RSS

1225.3.2010 17:31

Lainaus, alkuperäisen viestin kirjoitti kasber:
Eikö Opera ole mukana?
http://cansecwest.com/post/2010-02-16-16...WN_Announcement

Lainaus:
$40,000 of prizes are allocated for the Browser exploitation challenge, which will feature a gradually expanding attack surface over the three days of the competition during the conference consisting of progressively less operating system exploit mitigations consiting of older operating system versions (Windows 7, Vista, and XP; Snow Leopard, Leopard). The four browser targets for the challenge are:

* Microsoft Internet Explorer (Version 8 on Windows 7, Version 7 on Vista and XP)

* Mozilla Firefox 3

* Google Chrome 4

* Apple Safari 4

1325.3.2010 17:32

Lainaus, alkuperäisen viestin kirjoitti perhana:
LOL
Lainaus:
Kisassa mukana olevista selaimista Googlen Chrome oli ainoa, jota ei murrettu ensimmäisen päivän aikana.
Melkoista uutisointia Afterdawnilta, aivan niinkuin ennustelinkin niin Chrome uutisointi käännetään keinolla millä hyvänsä positiiviseksi, eli tässä tapauksessa kerrotaan siitä kuinka Chromea ei murrettu, mutta "unohdetaan" kertoa tämän johtuvan siitä että ensimmäisenä päivänä kukaan ei edes yrittänyt murtaa Chromea!!

http://twitter.com/thezdi

Lainaus:
Wrapping up for the day. Chrome remains untested and therefore the only browser left standing.

Lukitsematonkin ovi pysyy kiinni ellei kukaan yritä avata sitä.

Googlen Chrome-selaimen tietoturvaa on kehuttu, ja Pwn2own-tapahtuman anti näyttäisi tukevan tätä. Chrome oli ainoa selain, jota ei pystytty murtamaan tapahtuman ensimmäisenä päivänä.

Lähde
Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 25.3.2010 @ 17:33

1425.3.2010 17:33

Huono päivä Applella. Iphonestakin vietiin tekstiviestit, mukaanlukien poistetut. Eipä siinä mitään yllättävää tosin.

1525.3.2010 17:51

Hei sainko jotenkin kätevästi käyttäjätunnukset ja salasanat siirrettyä firefoxista chromeen?

1625.3.2010 18:43

Lainaus, alkuperäisen viestin kirjoitti Bluejack:

Googlen Chrome-selaimen tietoturvaa on kehuttu, ja Pwn2own-tapahtuman anti näyttäisi tukevan tätä. Chrome oli ainoa selain, jota ei pystytty murtamaan tapahtuman ensimmäisenä päivänä.

Lähde
Ja tämän pointti oli?
siis sekö että tietokone.fi myös muotoili uutisen samalla tavoin, ja jätti kertomatta että Pwn2own oman uutispalvelun mukaan kukaan ei ensimmäisen päivän aikana yrittänyt murtaa Chromea, josta syystä se pysyi murtamattomana, tuo thezdi:n twitter ketju on virallinen reaaliajassa päivittyvä ketju tuosta tapahtumasta, ja edelleen siellä asia muotoillaan selkeästi:
Lainaus:
Chrome remains untested and therefore the only browser left standing

1725.3.2010 18:50

Ite tykään Tuli ketusta enemmän ja kaikilla on kummisikin softa palo muuri

Joka PC tai Mac joka on netissä kiinni on murrettavissa joku nopeaemin joku hitaammin

Tosin hyvä selain ja palomuuri estää paremmin joten hyvä et nää kehittyy

yks mikä on outoa monessa työ paikassa paasataan netti turvallisuudesta mut monesti ei saa käyttää kuin IE selaimia vaikka se tietoturvaisuuden kannalta suurin uhka

Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 25.3.2010 @ 18:51

1825.3.2010 18:57

Minuuteissa ja heti kättelyssä murtumisestakin voi olla eri mieltä jos sattui seuraamaan tapahtuman etenemistä, Safari kyllä murrettiin noin viidessä minuutissa, ja Firefox noin varttitunnissa, kun taas IE:n kimpussa vietettiin aikaa lähemmäs tunti, yöllä ja aamulla oli twitter ketjussa vielä näkyvissä aikaerot siitä kun selaimen kimppuun käytiin siihen hetkeen jolloin selain murtui.

1925.3.2010 19:10

Lainaus, alkuperäisen viestin kirjoitti perhana:


Ja tämän pointti oli?

Tässä mitään pointteja tarvita.. näemmä yksinkertaisesti asiasta erinlaista tietoa ja uutisointia tarjolla. Mikä sitten on oikea niin siitä en tiedä.

mutta eiköhän sekin selvinne tässä jahka odotellaan.
Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 25.3.2010 @ 19:14

2025.3.2010 19:17

No eihän noi hakkerit tonne tapahtumaan mene ja sitten siellä vasta ala miettimään että mitenköhän murtaisin tämän....kyllä ne on etukäteen ettinyt kaikista selaimista niitä aukkoja ja Chromesta ei niitä löytynyt, joten sitä ne eivät edes yrittäneet. Pointti on se että Chrome rulZ

2125.3.2010 19:36

Lainaus, alkuperäisen viestin kirjoitti Bluejack:
Lainaus, alkuperäisen viestin kirjoitti perhana:


Ja tämän pointti oli?

Tässä mitään pointteja tarvita.. näemmä yksinkertaisesti asiasta erinlaista tietoa ja uutisointia tarjolla. Mikä sitten on oikea niin siitä en tiedä.

mutta eiköhän sekin selvinne tässä jahka odotellaan.
Olen nyt jo muutamaan otteeseen yrittänyt kertoa, että oikeaa tietoa asiasta löytyy tapahtuman virallisesta uutisketjusta:

http://twitter.com/thezdi

tuo thezdi on lyhennys nimestä The Zero Day Initiative joka on tapahtuman järjestäjä

2225.3.2010 20:16

Lainaus, alkuperäisen viestin kirjoitti perhana:


Olen nyt jo muutamaan otteeseen yrittänyt kertoa, että oikeaa tietoa asiasta löytyy tapahtuman virallisesta uutisketjusta:

http://twitter.com/thezdi

tuo thezdi on lyhennys nimestä The Zero Day Initiative joka on tapahtuman järjestäjä

jepp.. ei tämä minulle niin iso asia ole jotta tätä realiaikaisesti itse kiinnostaisi edes seurata.mutta hienoa jotta joku viitsii "tiedottaa" asia "pointeista". mutta itse lista ei yllätä millään tavalla järjestyksen suhteen.
Ei tulos tule silti selain valintaani toiseksi muuttamaan :) Se on tuossa valikossa ja pysyy.
Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 25.3.2010 @ 20:18

2325.3.2010 20:46

Olisihan se ihan kiva saada kisaajien kommentteja aiheesta, miksi chromea ei ole yritetty. Eikö selain ole hakkereille tarpeeksi tuttu tai motivoiva muusta syystä, vai onko kyseessä tosiaan parempi tietosuojan taso. Enpä itsekään aio tämän perusteella selainta vaihtaa, mutta toki mielenkiinto chromea kohtaan toki kasvoi.

2425.3.2010 23:26

Lainaus, alkuperäisen viestin kirjoitti bfr:
Huono päivä Applella. Iphonestakin vietiin tekstiviestit, mukaanlukien poistetut. Eipä siinä mitään yllättävää tosin.

Öö. Miten tämä on huonopäivä Applelle, kun kaikkiin muihinkin murtauduttiin samallatavalla. :P Eikös huono päivä ole kaikilla noilla vai oliko tämä vain kannanotto, ettet vain tykkää Applesta. :D

2525.3.2010 23:44
kassu10
Inactive

Itselläni on MPC Kromi selain. Mikä on viimeisin versio ja onko se päivitetty samaan kun nykyinen (turvallinen) Google Chrome?

2626.3.2010 10:18

Minusta se ei ainakaan suoraan tarkoita, että Crome olisi paras jos sitä ei saada murrettua Windows seiskassa. Tilanne voi olla aivan toinen tänään XP:ssä.

2726.3.2010 13:00

Operan käyttäjänä olen sitä mieltä, että olen paras. Eiku siis että Opera on paras ja murtamaton, kun sitä ei ees tonne otettu sen ylivoimasuuden takia...

älkää tosikot hermostuko tästä läpästä jossa ihmettelen edelleen että miksei Opera oo tua :(

2827.3.2010 9:21

Lainaus:
älkää tosikot hermostuko tästä läpästä jossa ihmettelen edelleen että miksei Opera oo tua :(
Luulen et ajan puutteen takia

Ei ole mitään järkeä hyökätä pienessä ajassa kaikki vastaan vaan keskittää taidot yhteen niin et se murtuu ja sitten jos aikaa siirtyä muuhun

IE ja FF on maailman eniten käytettyjä selaimia joten vaikka tietoturvaa on parannettu niin koodi on tuttua

291.4.2010 3:43
dfghjdfgh
Vahvistamaton

On a scale of 1-10, how impressive was the Nils’ sweep of exploiting all three main browsers?

Charlie Miller: I was surprised. For IE 8, I’d give him a 9 out of 10. For Safari, maybe a 2. It’s just too easy to pop Safari. For Firefox on Windows, I give him a 10. That was the most impressive of the three. It’s really hard to exploit Firefox on Windows.

Tulikettu winukalla on hankalin murtaa?

301.4.2010 3:52
wrtwseddfdhf
Vahvistamaton

Charlie Miller sanoo myös että Chrome on tosi hankala murtautua hiekkalaatikon takia ja se pitäisi tulevaisuudessa laittaa standartiksi kaikkiin selaimiin koska on toimiva.

Tämän uutisen kommentointi ei ole enää mahdollista.

Tuoreimmat uutiset

Tulevaisuus tulee: BBC testaa Ultra HD -videon jakelua netissä Tulevaisuus tulee: BBC testaa Ultra HD -videon jakelua netissä (8.12.2016 15:20)
YouTube ja Netflix ovat olleet edelläkävijöitä Ultra HD -sisältöjen verkkojakelun testauksessa, mutta hiljalleen myös muut palveluntarjoajat ovat aloittaneet omat testinsä. Tuoreimpana esimerkkinä ....
YouTube maksoi muusikoille yli miljardi dollaria – Se ei riitä YouTube maksoi muusikoille yli miljardi dollaria – "Se ei riitä" (8.12.2016 14:55)
Taylor Swift ja monet muut artistit ovat kritisoineet voimakkaasti YouTubea ja Spotifyta siitä, että ne mahdollistavat musiikin kuuntelemisen täysin ilmaiseksi. Molemmissa tapauksissa artistit ....
1 kommentti
Super Mario Runista tulossa uusi villitys? Peliä pääsee kokeilemaan Applen myymälöissä Super Mario Runista tulossa uusi villitys? Peliä pääsee kokeilemaan Applen myymälöissä (8.12.2016 12:23)
Nintendon on määrä julkaista odotettu Super Mario Run -mobiilipeli iPhonelle ja iPadille 15. joulukuuta. Esimakua uudesta pelistä on kuitenkin tulossa saataville jo tänään, paljasti Nintendon ....
Bluetoothista uusi versio – Nopeuteen ja kantomatkaan iso parannus Bluetoothista uusi versio – Nopeuteen ja kantomatkaan iso parannus (8.12.2016 11:40)
Bluetooth SIG on julkaissut kehittämästään langattomasta tiedonsiirtostandardista viidennen version, jonka luvataan mahdollistavan monipuolisemmat IoT-laitteet sekä niiden joustavamman käytön kotona. ....
Applekaan ei pysty haastamaan Spotifyta? Jää tilaajamäärissä jälkeen Applekaan ei pysty haastamaan Spotifyta? Jää tilaajamäärissä jälkeen (8.12.2016 11:09)
Vuoden 2015 kesällä lanseerattu Apple Music -suoratoistopalvelu on kerännyt tähän mennessä 20 miljoonaa tilaajaa. Pitempään markkinoilla toimineella Spotifylla on syyskuussa päivitetyn tilastotiedon ....

Uutisarkisto