*
 
AfterDawn: IT-alan uutiset

Safari ja IE8 murtuivat Pwn2Own-kilpailun ensimmäisenä päivänä

Kirjoittaja Kaarlo Räihä @ 10.3.2011 07:56 Kommentteja (6)

Safari ja IE8 murtuivat Pwn2Own-kilpailun ensimmäisenä päivänä CanSecWest-tietoturvatapahtumassa järjestettävä tietoturva-aukkoihin liittyvä Pwn2Own-kisa käynnistyi eilen, ja ensimmäisenä kilpailupäivänä kisaajat tekivät selvää jälkeä sekä Safari että Internet Explorer 8 -selaimista.
Apple julkaisi eilen päivityspaketin Safari-selaimelle, mutta se ei ehtinyt mukaan kilpailuun, joten kilpailun voittoon riitti Safarin 5.0.3-versiota vastaan toimiva hyökkäys. Sitä esitteli Ranskassa kotipaikkaansa pitävä VUPEN-tietoturvayhtiö, jonka ilkeästi muotoiltu web-sivu käynnisti selaimessa olevien tietoturvaongelmien avulla Mac OS X 10.6.6:n laskimen ja kirjoitti tiedoston kiintolevylle.

VUPEN-yrityksen edustajan mukaan Safarissa olevan tietoturva-aukon hyödyntäminen ei ollut helppoa, sillä 64-bittiselle Safarille on julkaistu tähän saakka hyvin vähän toimivia hyökkäystyökaluja, joten yrityksen piti samalla kehittää niitä. Kolmen työntekijän kahdessa viikossa tekemä projekti oli kuitenkin taloudellisesti kannattava, koska VUPEN sai palkinnoksi 15 000 dollaria ja MacBook Air -tietokoneen.

Myös Internet Explorer 8:n kohdalla tietoturvan parantuminen on auttanut tilannetta, ja tietoturvatutkija Stephen Fewerin piti hyödyntää kolmea eri haavoittuvuutta, jotta hän sai koneen haltuunsa. Fewerin hyökkäys ohitti selaimen omien tietoturvatoimintojen lisäksi uudempien Windowsien tarjoamat DEP- (data execution prevention) ja ASLR-tekniikat (address space layout randomization). Fewer kehitti hyökkäystään noin kuuden viikon ajan, ja palkinnoksi hän sai 15 000 dollaria sekä Windows-kannettavan.

Molempien hyökkäysten tarkemmat tiedot julkaistaan vasta siinä vaiheessa, kun selainvalmistajat ovat korjanneet kyseiset ongelmat.

Chromen kohdalla nähtiin ensimmäisen päivän osalta vain hiljaisuutta, koska kukaan ei yrittänyt murtaa selainta.

Toisena kisapäivänä vuorossa ovat Mozillan Firefox-selain sekä matkapuhelimet.

Edellinen Seuraava  

6 kommenttia

110.3.2011 11:29

Ei taaskaan yllätyksiä tällä saralla.

210.3.2011 12:58

Juu ei yllätyksiä.

310.3.2011 13:19
herkkokerkko
Vahvistamaton

Taloudellisesti kannattavaa? Tuntihinnaksi (40h työviikolla) muutettuna tekee 45 e/h, joka ei kyllä ole kovin kummoinen laskutus konsulttifirmalta. Käytännössä taloudellisesti näkökulmasta tekivät siis todennäköisesti ihan kohtuullisesti tappiota.

Tietenkin markkinointi ja tuotekehittelynäkökulmasta tuo saattoi olla firmalle ihan hyvä veto, mutta ei se nyt tuolla suoralla tuotolla mitattuna tosiaankaan ollut taloudellisesti kannattavaa.

410.3.2011 13:22

Molempien selaimien murtamiseen meni 6 miestyöviikkoa, joten näiden selaimien murtaminen on erittäin vaikeata.

IE8-selaimen murtamiseen piti löytää 2 erillistä nollapäiväaukkoa, sekä lisäksi kolmas aukko (jolla pääsi läpi IE-selaimen suojatun tilan hiekkalaatikosta).

Huomenna nähdään murretaanko Firefox-selain.

Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 10.3.2011 @ 13:30

511.3.2011 11:51

Hieman harhaanjohtavan kuvan kyllä saa näistä Pwn2Own "kilpailun" uutisista, asiaan tarkemmin tutustunut lukija saa jotenkin sen kuvan että kilpailun alkaessa kilpailijat istuvat pöydän ääreen ja kaikka samaan aikaan alkavat hakkeroida selaimia, yksi chromea, toinen IE:tä, kolmas Safaria, neljäs kilpailija FireFoxia jne, ja sitten hävinnyt selain on se joka ensimmäisenä murretaan...
Tosiasiahan kuitenkin on aivan toinen, eli todellisuudessa ensimmäisenä jälleen käytiin suosituimpien, eli IE:n ja Safarin, kimppuun, mutta muita selaimia ei ole kukaan kilpailun osallistujista edes yrittänyt murtaa vielä... eli melkoinen yllätys että IE ja Safari murtui ensimmäisinä.
Viime vuonna suurilla otsikoilla uutisoitiin kuinka Chrome pysyi murtamattomana koko kilpailun ajan, ja ainoastaan pienellä sivulauseella mainittiin että eihän sitä toki kukaan kilpailija edes yrittänyt murtaa, google kun maksaa paremman palkkion jos tietoturva-aukon kertoo heille kaikessa hiljaisuudessa ennen kilpailua ;-)

611.3.2011 12:24

Lainaus, alkuperäisen viestin kirjoitti perhana:
Hieman harhaanjohtavan kuvan kyllä saa näistä Pwn2Own "kilpailun" uutisista, asiaan tarkemmin tutustunut lukija saa jotenkin sen kuvan että kilpailun alkaessa kilpailijat istuvat pöydän ääreen ja kaikka samaan aikaan alkavat hakkeroida selaimia, yksi chromea, toinen IE:tä, kolmas Safaria, neljäs kilpailija FireFoxia jne, ja sitten hävinnyt selain on se joka ensimmäisenä murretaan...
Tosiasiahan kuitenkin on aivan toinen, eli todellisuudessa ensimmäisenä jälleen käytiin suosituimpien, eli IE:n ja Safarin, kimppuun, mutta muita selaimia ei ole kukaan kilpailun osallistujista edes yrittänyt murtaa vielä... eli melkoinen yllätys että IE ja Safari murtui ensimmäisinä.
Viime vuonna suurilla otsikoilla uutisoitiin kuinka Chrome pysyi murtamattomana koko kilpailun ajan, ja ainoastaan pienellä sivulauseella mainittiin että eihän sitä toki kukaan kilpailija edes yrittänyt murtaa, google kun maksaa paremman palkkion jos tietoturva-aukon kertoo heille kaikessa hiljaisuudessa ennen kilpailua ;-)
Se että kukaan ei yritä murtaa selainta, tarkoittaa ettei kukaan ole onnistunut sitä murtamaan. Kuten sanoit, ei tuonne kukaan lähde enää "yrittämään", vaan esittelemään löytämänsä aukot.

Chromen vahvuus muodostuu siitä että google maksaa aukoista sekä siitä että selaimesta saa jopa nightly buildit. Näin ollen aukot pääsevät harvoin stableihin asti, joita taas tällaisissa kilpailuissa testataan.

Tämän uutisen kommentointi ei ole enää mahdollista.

Tuoreimmat uutiset

Kevään hittielokuva uhattiin vuotaa nettiin – Kiristäjälle kävi köpelösti Kevään hittielokuva uhattiin vuotaa nettiin – Kiristäjälle kävi köpelösti (24.3.2017 18:51)
Apple ei ole ainoa bitcoin-kiristyksen kohteeksi joutunut suuryritys, sillä myös 20th Century Foxilta ja Dreamworksilta on yritetty lypsää rahaa virtuaalivaluutan muodossa. Elokuvajättien ....
1 kommentti
Operaattori saa jatkossa myydä käyttäjien selailuhistorian mainostajille Operaattori saa jatkossa myydä käyttäjien selailuhistorian mainostajille (24.3.2017 13:06)
Republikaanienemmistöinen senaatti on ehdottanut muutosta lainsäädäntöön, joka sallisi operaattorien myydä käyttäjistään keräämää selailuhistoriaa ja muuta dataa suoraan mainostajille.
5 kommenttia
Microsoft tarjoaa patenttejaan älyautojen valmistajille Microsoft tarjoaa patenttejaan älyautojen valmistajille (24.3.2017 10:32)
Teknologiapatenttien ja -lisenssisopimusten tärkeys on tullut näkyvästi esille tietokoneiden ja mobiililaitteiden yleistymisen myötä, kun oikeussaleissa on väännetty kättä graafisista käyttöliittymistä ....
2 kommenttia
Vain puolet Android-laitteista sai tietoturvapäivityksiä Vain puolet Android-laitteista sai tietoturvapäivityksiä (24.3.2017 09:17)
Androidin tietoturvatiimiin uuden blogikirjoituksen mukaan sen tavoitteena on huolehtia kaikkien käyttäjien tietoturvasta, mutta lukujen valossa tässä onnistuttiin viime vuonna vain osittain. ....
1 kommentti
Hakkerit uhkaavat tyhjentää iPhonesi – Vaativat Applelta bitcoineja Hakkerit uhkaavat tyhjentää iPhonesi – Vaativat Applelta bitcoineja (24.3.2017 08:36)
Turkish Crime Family -niminen hakkeriryhmä on vaatinut Applea maksamaan sille 75 000 dollarin arvosta bitconeja huhtikuun 7. päivään mennessä, muutoin ryhmä aikoo tyhjentää miljoonien Applen ....

Uutisarkisto