Pwn2Own: Safari, Firefox ja IE8 murtuivat heti kättelyssä
CanSecWest-tietoturvatapahtumassa järjestettävä Pwn2Own-kisa tarjosi heti ensimmäisenä päivänä suru-uutisia selainkehittäjille, kun sekä Safari-, Firefox- että Internet Explorer -selaimet murrettiin.
Kisan sääntöjen mukaisesti hyökkäyskoodia ei saa julkaista, joten hyväksikäytetyistä tietoturva-aukoista ei ole toistaiseksi tarkempaa tietoa. Tapahtuman järjestäjät kertovat löydetyistä aukoista suoraan selaimien kehittäjille, jotka voivat sitten korjata selaimien mahdolliset ongelmat. Kun tietoturva-aukko on korjattu, antavat kisan järjestäjät siitä sitten tarkempaa tietoa.
Safarin kohdalla tietoturvan mursi Charlie Miller, joka on tehnyt saman tempun kahtena edellisenä vuotena. Firefoxin suojaukset ohitti puolestaan Nils-nimen taakse piiloutuva saksalainen hakkeri, joka ohitti samassa rytäkässä myös Windows-käyttöjärjestelmien ALSR- (Address Space Layout Randomization) ja DEP-suojaukset (Data Execution Prevention), joiden pitäisi hankaloittaa puskuriylivuotojen väärinkäyttöä. Nilsin mukaan Firefoxin kehittäjät voisivat parantaa ALSR-suojauksen käyttöä selaimessaan.
DEP-suojauksen ohitti myös Peter Vreugdenhil, jonka kohteena oli Internet Explorer 8 -selain. Kaikki kolme saavat vaivannäöstään palkinnoksi 10 000 dollaria.
Kisassa mukana olevista selaimista Googlen Chrome oli ainoa, jota ei murrettu ensimmäisen päivän aikana.
30 KOMMENTTIA
FrostRose1/30
Crhomen hiekkalaatikko on vielä liikaa kräkkereille? Muistan aikaisemmin kuulleeni, että joku kehittäjä löysi tietoturva-aukon, mutta ei tiennyt, mitä sillä tekisi. Tämä siis koska tarvisi toisen haavoittovuuden, jolla pääsisi ulos sieltä hiekkalaatikosta.
Huntta2/30
Vaihdoin vuodenvaihteessa Firefoxista Chromeen kun huomasin että Chrome on yksinkertaisesti mennyt Firefoxin ohi.
En selvästikään ollut väärässä.
perhana3/30
LOL
Melkoista uutisointia Afterdawnilta, aivan niinkuin ennustelinkin niin Chrome uutisointi käännetään keinolla millä hyvänsä positiiviseksi, eli tässä tapauksessa kerrotaan siitä kuinka Chromea ei murrettu, mutta "unohdetaan" kertoa tämän johtuvan siitä että ensimmäisenä päivänä kukaan ei edes yrittänyt murtaa Chromea!!
http://twitter.com/thezdi
Lukitsematonkin ovi pysyy kiinni ellei kukaan yritä avata sitä.
FrostRose4/30
Luuletko perhana, että kukaan ei kotonaan ollut yrittänyt murtaa tuota? Eihän porukka mielellään tuolla paikan päällä tee sellaista, minkä ei tiedä toimivan. Sitten kun muut kategoriat on käyty, niin yliajalla varmaan kokeilevat jotain.
kasber5/30
Eikö Opera ole mukana?
Potilas6/30
Joo mites se Opera... miksei siitä mainita yhtään mitään?
Thor19937/30
Chrome ollu käytössä täyspäiväsesti suunnilleen siitä asti ku on lisäosat ollu mukana (vähän ennen sitä) :)
__int648/30
Chromeen rss -reader niin alkaa asiat olemaan kunnossa.
nollat9/30
Oi että toi chrome on hjuva mut en uskonu et NÄIN hyvä
ArttuH5N110/30
Odotettu tulos.
Kakkula11/30
Chrome Extensions - Haku: RSS
nozie12/30
http://cansecwest.com/post/2010-02-16-16...WN_Announcement
Bluejack13/30
Lähdebfr14/30
Huono päivä Applella. Iphonestakin vietiin tekstiviestit, mukaanlukien poistetut. Eipä siinä mitään yllättävää tosin.
jere7515/30
Hei sainko jotenkin kätevästi käyttäjätunnukset ja salasanat siirrettyä firefoxista chromeen?
perhana16/30
Ja tämän pointti oli?
siis sekö että tietokone.fi myös muotoili uutisen samalla tavoin, ja jätti kertomatta että Pwn2own oman uutispalvelun mukaan kukaan ei ensimmäisen päivän aikana yrittänyt murtaa Chromea, josta syystä se pysyi murtamattomana, tuo thezdi:n twitter ketju on virallinen reaaliajassa päivittyvä ketju tuosta tapahtumasta, ja edelleen siellä asia muotoillaan selkeästi:
Sokar8017/30
Ite tykään Tuli ketusta enemmän ja kaikilla on kummisikin softa palo muuri
Joka PC tai Mac joka on netissä kiinni on murrettavissa joku nopeaemin joku hitaammin
Tosin hyvä selain ja palomuuri estää paremmin joten hyvä et nää kehittyy
yks mikä on outoa monessa työ paikassa paasataan netti turvallisuudesta mut monesti ei saa käyttää kuin IE selaimia vaikka se tietoturvaisuuden kannalta suurin uhka
perhana18/30
Minuuteissa ja heti kättelyssä murtumisestakin voi olla eri mieltä jos sattui seuraamaan tapahtuman etenemistä, Safari kyllä murrettiin noin viidessä minuutissa, ja Firefox noin varttitunnissa, kun taas IE:n kimpussa vietettiin aikaa lähemmäs tunti, yöllä ja aamulla oli twitter ketjussa vielä näkyvissä aikaerot siitä kun selaimen kimppuun käytiin siihen hetkeen jolloin selain murtui.
Bluejack19/30
Tässä mitään pointteja tarvita.. näemmä yksinkertaisesti asiasta erinlaista tietoa ja uutisointia tarjolla. Mikä sitten on oikea niin siitä en tiedä.
mutta eiköhän sekin selvinne tässä jahka odotellaan.
Michelola20/30
No eihän noi hakkerit tonne tapahtumaan mene ja sitten siellä vasta ala miettimään että mitenköhän murtaisin tämän....kyllä ne on etukäteen ettinyt kaikista selaimista niitä aukkoja ja Chromesta ei niitä löytynyt, joten sitä ne eivät edes yrittäneet. Pointti on se että Chrome rulZ
perhana21/30
Olen nyt jo muutamaan otteeseen yrittänyt kertoa, että oikeaa tietoa asiasta löytyy tapahtuman virallisesta uutisketjusta:
http://twitter.com/thezdi
tuo thezdi on lyhennys nimestä The Zero Day Initiative joka on tapahtuman järjestäjä
Bluejack22/30
jepp.. ei tämä minulle niin iso asia ole jotta tätä realiaikaisesti itse kiinnostaisi edes seurata.mutta hienoa jotta joku viitsii "tiedottaa" asia "pointeista". mutta itse lista ei yllätä millään tavalla järjestyksen suhteen.
Ei tulos tule silti selain valintaani toiseksi muuttamaan :) Se on tuossa valikossa ja pysyy.
Aunustico23/30
Olisihan se ihan kiva saada kisaajien kommentteja aiheesta, miksi chromea ei ole yritetty. Eikö selain ole hakkereille tarpeeksi tuttu tai motivoiva muusta syystä, vai onko kyseessä tosiaan parempi tietosuojan taso. Enpä itsekään aio tämän perusteella selainta vaihtaa, mutta toki mielenkiinto chromea kohtaan toki kasvoi.
exlex24/30
Öö. Miten tämä on huonopäivä Applelle, kun kaikkiin muihinkin murtauduttiin samallatavalla. :P Eikös huono päivä ole kaikilla noilla vai oliko tämä vain kannanotto, ettet vain tykkää Applesta. :D
kassu1025/30
Itselläni on MPC Kromi selain. Mikä on viimeisin versio ja onko se päivitetty samaan kun nykyinen (turvallinen) Google Chrome?
Tomppa8926/30
Minusta se ei ainakaan suoraan tarkoita, että Crome olisi paras jos sitä ei saada murrettua Windows seiskassa. Tilanne voi olla aivan toinen tänään XP:ssä.
Potilas27/30
Operan käyttäjänä olen sitä mieltä, että olen paras. Eiku siis että Opera on paras ja murtamaton, kun sitä ei ees tonne otettu sen ylivoimasuuden takia...
älkää tosikot hermostuko tästä läpästä jossa ihmettelen edelleen että miksei Opera oo tua :(
Sokar8028/30
Luulen et ajan puutteen takia
Ei ole mitään järkeä hyökätä pienessä ajassa kaikki vastaan vaan keskittää taidot yhteen niin et se murtuu ja sitten jos aikaa siirtyä muuhun
IE ja FF on maailman eniten käytettyjä selaimia joten vaikka tietoturvaa on parannettu niin koodi on tuttua
dfghjdfgh (vahvistamaton)29/30
On a scale of 1-10, how impressive was the Nils’ sweep of exploiting all three main browsers?
Charlie Miller: I was surprised. For IE 8, I’d give him a 9 out of 10. For Safari, maybe a 2. It’s just too easy to pop Safari. For Firefox on Windows, I give him a 10. That was the most impressive of the three. It’s really hard to exploit Firefox on Windows.
Tulikettu winukalla on hankalin murtaa?
wrtwseddfdhf (vahvistamaton)30/30
Charlie Miller sanoo myös että Chrome on tosi hankala murtautua hiekkalaatikon takia ja se pitäisi tulevaisuudessa laittaa standartiksi kaikkiin selaimiin koska on toimiva.
TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT