*
 
AfterDawn: IT-alan uutiset

Safari ja IE8 murtuivat Pwn2Own-kilpailun ensimmäisenä päivänä

Kirjoittaja Kaarlo Räihä @ 10.3.2011 07:56 Kommentteja (6)

Safari ja IE8 murtuivat Pwn2Own-kilpailun ensimmäisenä päivänä CanSecWest-tietoturvatapahtumassa järjestettävä tietoturva-aukkoihin liittyvä Pwn2Own-kisa käynnistyi eilen, ja ensimmäisenä kilpailupäivänä kisaajat tekivät selvää jälkeä sekä Safari että Internet Explorer 8 -selaimista.
Apple julkaisi eilen päivityspaketin Safari-selaimelle, mutta se ei ehtinyt mukaan kilpailuun, joten kilpailun voittoon riitti Safarin 5.0.3-versiota vastaan toimiva hyökkäys. Sitä esitteli Ranskassa kotipaikkaansa pitävä VUPEN-tietoturvayhtiö, jonka ilkeästi muotoiltu web-sivu käynnisti selaimessa olevien tietoturvaongelmien avulla Mac OS X 10.6.6:n laskimen ja kirjoitti tiedoston kiintolevylle.

VUPEN-yrityksen edustajan mukaan Safarissa olevan tietoturva-aukon hyödyntäminen ei ollut helppoa, sillä 64-bittiselle Safarille on julkaistu tähän saakka hyvin vähän toimivia hyökkäystyökaluja, joten yrityksen piti samalla kehittää niitä. Kolmen työntekijän kahdessa viikossa tekemä projekti oli kuitenkin taloudellisesti kannattava, koska VUPEN sai palkinnoksi 15 000 dollaria ja MacBook Air -tietokoneen.

Myös Internet Explorer 8:n kohdalla tietoturvan parantuminen on auttanut tilannetta, ja tietoturvatutkija Stephen Fewerin piti hyödyntää kolmea eri haavoittuvuutta, jotta hän sai koneen haltuunsa. Fewerin hyökkäys ohitti selaimen omien tietoturvatoimintojen lisäksi uudempien Windowsien tarjoamat DEP- (data execution prevention) ja ASLR-tekniikat (address space layout randomization). Fewer kehitti hyökkäystään noin kuuden viikon ajan, ja palkinnoksi hän sai 15 000 dollaria sekä Windows-kannettavan.

Molempien hyökkäysten tarkemmat tiedot julkaistaan vasta siinä vaiheessa, kun selainvalmistajat ovat korjanneet kyseiset ongelmat.

Chromen kohdalla nähtiin ensimmäisen päivän osalta vain hiljaisuutta, koska kukaan ei yrittänyt murtaa selainta.

Toisena kisapäivänä vuorossa ovat Mozillan Firefox-selain sekä matkapuhelimet.

Edellinen Seuraava  

6 kommenttia

110.3.2011 11:29

Ei taaskaan yllätyksiä tällä saralla.

210.3.2011 12:58

Juu ei yllätyksiä.

310.3.2011 13:19
herkkokerkko
Vahvistamaton

Taloudellisesti kannattavaa? Tuntihinnaksi (40h työviikolla) muutettuna tekee 45 e/h, joka ei kyllä ole kovin kummoinen laskutus konsulttifirmalta. Käytännössä taloudellisesti näkökulmasta tekivät siis todennäköisesti ihan kohtuullisesti tappiota.

Tietenkin markkinointi ja tuotekehittelynäkökulmasta tuo saattoi olla firmalle ihan hyvä veto, mutta ei se nyt tuolla suoralla tuotolla mitattuna tosiaankaan ollut taloudellisesti kannattavaa.

410.3.2011 13:22

Molempien selaimien murtamiseen meni 6 miestyöviikkoa, joten näiden selaimien murtaminen on erittäin vaikeata.

IE8-selaimen murtamiseen piti löytää 2 erillistä nollapäiväaukkoa, sekä lisäksi kolmas aukko (jolla pääsi läpi IE-selaimen suojatun tilan hiekkalaatikosta).

Huomenna nähdään murretaanko Firefox-selain.

Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 10.3.2011 @ 13:30

511.3.2011 11:51

Hieman harhaanjohtavan kuvan kyllä saa näistä Pwn2Own "kilpailun" uutisista, asiaan tarkemmin tutustunut lukija saa jotenkin sen kuvan että kilpailun alkaessa kilpailijat istuvat pöydän ääreen ja kaikka samaan aikaan alkavat hakkeroida selaimia, yksi chromea, toinen IE:tä, kolmas Safaria, neljäs kilpailija FireFoxia jne, ja sitten hävinnyt selain on se joka ensimmäisenä murretaan...
Tosiasiahan kuitenkin on aivan toinen, eli todellisuudessa ensimmäisenä jälleen käytiin suosituimpien, eli IE:n ja Safarin, kimppuun, mutta muita selaimia ei ole kukaan kilpailun osallistujista edes yrittänyt murtaa vielä... eli melkoinen yllätys että IE ja Safari murtui ensimmäisinä.
Viime vuonna suurilla otsikoilla uutisoitiin kuinka Chrome pysyi murtamattomana koko kilpailun ajan, ja ainoastaan pienellä sivulauseella mainittiin että eihän sitä toki kukaan kilpailija edes yrittänyt murtaa, google kun maksaa paremman palkkion jos tietoturva-aukon kertoo heille kaikessa hiljaisuudessa ennen kilpailua ;-)

611.3.2011 12:24

Lainaus, alkuperäisen viestin kirjoitti perhana:
Hieman harhaanjohtavan kuvan kyllä saa näistä Pwn2Own "kilpailun" uutisista, asiaan tarkemmin tutustunut lukija saa jotenkin sen kuvan että kilpailun alkaessa kilpailijat istuvat pöydän ääreen ja kaikka samaan aikaan alkavat hakkeroida selaimia, yksi chromea, toinen IE:tä, kolmas Safaria, neljäs kilpailija FireFoxia jne, ja sitten hävinnyt selain on se joka ensimmäisenä murretaan...
Tosiasiahan kuitenkin on aivan toinen, eli todellisuudessa ensimmäisenä jälleen käytiin suosituimpien, eli IE:n ja Safarin, kimppuun, mutta muita selaimia ei ole kukaan kilpailun osallistujista edes yrittänyt murtaa vielä... eli melkoinen yllätys että IE ja Safari murtui ensimmäisinä.
Viime vuonna suurilla otsikoilla uutisoitiin kuinka Chrome pysyi murtamattomana koko kilpailun ajan, ja ainoastaan pienellä sivulauseella mainittiin että eihän sitä toki kukaan kilpailija edes yrittänyt murtaa, google kun maksaa paremman palkkion jos tietoturva-aukon kertoo heille kaikessa hiljaisuudessa ennen kilpailua ;-)
Se että kukaan ei yritä murtaa selainta, tarkoittaa ettei kukaan ole onnistunut sitä murtamaan. Kuten sanoit, ei tuonne kukaan lähde enää "yrittämään", vaan esittelemään löytämänsä aukot.

Chromen vahvuus muodostuu siitä että google maksaa aukoista sekä siitä että selaimesta saa jopa nightly buildit. Näin ollen aukot pääsevät harvoin stableihin asti, joita taas tällaisissa kilpailuissa testataan.

Tämän uutisen kommentointi ei ole enää mahdollista.

Tuoreimmat uutiset

Vieläkin nopeampaa on tulossa – USB 3.2 -standardi valmistuu pian Vieläkin nopeampaa on tulossa – USB 3.2 -standardi valmistuu pian (26.7.2017 10:24)
Jotta kehitys ei pysähtyisi, luodaan vähän väliä uusia tiedonsiirtostandardeja nopeampaa ja tehokkaampaa tiedonvälitystä varten. USB:kin on etenemässä 3.2-versioon tulevan syksyn aikana. ....
1 kommentti
Toyota teki läpimurron akuissa – Lupaa parempia ominaisuuksia sähköautoihin Toyota teki läpimurron akuissa – Lupaa parempia ominaisuuksia sähköautoihin (26.7.2017 09:42)
Toyota on edennyt niin sanottuun production engineering -kehitysvaiheeseen sähköautomallissaan, jossa hyödynnetään uudenlaista kiinteää elektrolyyttiä käyttävää akkuteknologiaa. Elektrolyytin ....
4 kommenttia
Trump kehuu – Apple rakentaa kolme valtavaa tehdasta Yhdysvaltoihin Trump kehuu – Apple rakentaa kolme valtavaa tehdasta Yhdysvaltoihin (26.7.2017 09:12)
Apple rakentaa Yhdysvaltoihin kolme suurta tuotantolaitosta, väittää Yhdysvaltain presidentti Donald Trump Wall Street Journalin haastattelussa. Trumpin mukaan Applen toimitusjohtaja Tim ....
Odotettu uutinen – Adobe lopettaa Flashin kehittämisen 2020 Odotettu uutinen – Adobe lopettaa Flashin kehittämisen 2020 (26.7.2017 08:43)
Jo vuosia nettinatiivit ovat odottaneet sitä päivää, kun Adobe kertoo ajankohdan Flashin kuolemalle. Nyt se on koittanut: vuoden 2020 jälkeen Adobe ei aio enää kehittää Flashia eikä täten myöskään ....
Kiina aikoo päihittää Yhdysvallat tekoälyssä – Esitteli kunnianhimoisen ohjelman Kiina aikoo päihittää Yhdysvallat tekoälyssä – Esitteli kunnianhimoisen ohjelman (25.7.2017 11:23)
Kiinan valtioneuvosto on asettanut kunnianhimoisen tavoitteen, jonka mukaan maa olisi tekoälytutkimuksen johtava valtio vuoteen 2030 mennessä. Tavoitteena on rakentaa tekoälyn ympärille kokonainen ....

Uutisarkisto