Ομάδες ερευνητών παραβίασαν κατά τη διάρκεια του hacking διαγωνισμού Pwn2Own, τα προγράμματα περιήγησης Internet Explorer 10 της Microsoft, Google Chrome της Google και Firefox της Mozilla, κερδίζοντας περισσότερα από 250.000 δολάρια σε βραβεία. Στον ίδιο διαγωνισμό, ένας μεμονωμένος χάκερ αξιοποίησε ευπάθεια της Java κερδίζοντας 20.000 δολάρια ως βραβείο. Η γαλλική εταιρεία ασφάλειας Vupen που είχε έρθει πρώτη στον περσινό διαγωνισμό, κατάφερε να αξιοποιήσει ένα ζεύγος αδυναμιών του IE10 πάνω σε Windows 8 Surface Pro tablet. Όπως ανακοίνωσε η εταιρεία στο Twitter, εκμεταλλευτήκαν δύο zero-days ευπάθειες του IE10 με παράκαμψη του sandbox για να επιτευχθεί η πλήρης πρόσβαση στα Windows 8.Ερευνητές της βρετανικής εταιρείας διαδικτυακής ασφάλειας δεδομένων MWR, κέρδισαν το βραβείο των 100.000 δολαρίων στο hacking διαγωνισμό Pwn2Own του Βανκούβερ. Οι ερευνητές κατάφεραν να παραβιάσουν μια πλήρως επιδιορθωμένη έκδοση του προγράμματος περιήγησης Google Chrome και να αναλάβουν τον έλεγχο των Windows 7.
Σύμφωνα με τους ερευνητές, όταν ένας χρήστης που χρησιμοποιεί Chrome επισκεφτεί μια κακόβουλη ιστοσελίδα, τότε ο κάτοχος της σελίδας μπορεί να εκμεταλλευτεί μια ευπάθεια του προγράμματος η οποία του επιτρέπει την εκτέλεση κώδικα στη διαδικασία renderer του sandbox. Στη συνέχεια, η ομάδα αξιοποίησε μια ευπάθεια του πυρήνα των Windows 7 για να αποκτήσει αυξημένα δικαιώματα και να εκτελέσει εντολές. Σύμφωνα με τους ερευνητές, μπόρεσαν να εκμεταλλευτούν το πρόγραμμα περιήγησης και το λειτουργικό σύστημα χωρίς να αλλάξουν τις προεπιλεγμένες ρυθμίσεις των εν λόγω πλατφόρμων. Σε δήλωσή του ο διευθύνων σύμβουλος της εταιρείας ανέφερε ότι, ‘’ Το Google Chrome είναι ένα από τα πιο ευρέως χρησιμοποιούμενα προγράμματα περιήγησης στο διαδίκτυο σε παγκόσμιο επίπεδο και θεωρούνταν ο δυσκολότερος στόχος του διαγωνισμού. Ο λόγος που επιλέχθηκε ο Chrome ως στόχος για επίδειξη ήταν για να ενθαρρυνθεί η αντίληψη ότι, αυτού του είδους παραβίαση της ασφάλειας θα μπορούσε να εκθέσει σε σοβαρό κίνδυνο εκατομμύρια χρήστες είτε οικιακούς είτε εργαζομένους σε εταιρείες.’’ Η MWR Labs δεν παρείχε περεταίρω λεπτομέρειες σχετικά με τον κώδικα που χρησιμοποίησε για να εκμεταλλευτεί τις ευπάθειες, αλλά αντ ‘αυτού αποφάσισε να δώσει αυτές της πληροφορίες στους προμηθευτές έτσι ώστε να μπορέσουν να τις επιδιορθώσουν.
http://www.secnews.gr/
http://www.secnews.gr/
No comments :
Post a Comment