html текст
All interests
  • All interests
  • Design
  • Food
  • Gadgets
  • Humor
  • News
  • Photo
  • Travel
  • Video
Click to see the next recommended page
Like it
Don't like
Add to Favorites

На Pwn2Own успешно взломали браузеры Edge, Safari и Firefox

На прошлой неделе в Канаде, в рамках конференции CanSecWest, прошло состязание Pwn2Own 2018. И хотя в этом году, благодаря поддержке Microsoft и VMware, размер призового фонда мероприятия был увеличен до 2 000 000 долларов, исследователям удалось забрать домой лишь 267 000 долларов, то есть значительно меньше, чем в предыдущие годы. Напомню, что по итогам Pwn2Own 2017 представители Trend Micro Zero Day Initiative (ZDI) выплатили участникам 833 000 долларов за 51 обнаруженную уязвимость, а в 2016 году white hat’ы заработали 460 000 долларов и нашли 21 баг.

Представители ZDI пишут, что хакеры показали себя хуже, чем ожидалось, сразу по нескольким причинам. Так, некоторые специалисты, зарегистрировавшиеся для участия в Pwn2Own, были вынуждены снять свои кандидатуры с конкурса, так как во время мартовского «вторника обновлений» компания Microsoft устранила уязвимости, которые эксперты планировали использовать. Кроме того, в начале текущего месяца власти Китая высказались против участия в Pwn2Own китайских специалистов. Представители властей полагают, что исследователи не должны делиться эксплоитами и информацией об уязвимостях с третьими сторонами за рубежом. Вместо этого было предложено сообщать о проблемах напрямую вендорам.

Тем не менее, несколько хороших взломов на Pwn2Own все же показали. Так, в первый день соревнований Ричард Чжу (Richard Zhu) не сумел взломать браузер Safari, однако успешно продемонстрировал цепочку эксплоитов, скомпрометировавших браузер Edge, что принесло ему 70 000 долларов. В этот же день специалист команды Phoenhex Никлас Баумштарк (Niklas Baumstark) взломал VirtualBox, заработав 27 000 долларов. Его коллега по команде Сэмюэл Гросс (Samuel Groß) показал успешную компрометацию Safari, что принесло Phoenhex еще 65 000 долларов.

Второй день соревнования все тот же Чжу добавил к своему призу еще 50 000 долларов, взломав Firefox при помощи out-of-bounds уязвимости в самом браузере и переполнения целочисленного типа в ярде Windows. В этом году именно Чжу заслужил звание Master of Pwn, став самым результативным участником соревнований. Суммарно эксперт заработал 120 000 долларов.

Ричард Чжу и эксперт ZDI

Также во второй день специалисты Ret2 Systems успешно использовали цепочку эксплоитов против браузера Safari, однако взлом удался лишь с четвертой попытки, тогда как по правилам Pwn2Own осуществить компрометацию нужно с трех попыток. В итоге хак не принес специалистам награду в рамках конкурса. Впрочем, представители ZDI все равно выкупили у экспертов информацию об уязвимостях, чтобы затем передать ее Apple.

Кроме того, во второй день взлом удался у представителей MWR Labs. Они продемонстрировали побег из песочницы в Safari, использовав для этого переполнение буфера хипа в браузере, а также атаку типа uninitialized stack variable против самой macOS. Этот хак принес специалистам 55 000 долларов.

Напомню, что в рамках состязания также прошел отдельный Windows Insider Preview челлендж, в рамках которого участникам предлагали «вскрыть» Windows Defender Application Guard для Edge, Windows SMB, а также Windows Hyper-V. Увы, никто не взломал не только их, но также Chrome, NGNIX, Apache httpd, OpenSSL,  vMware Workstation, Adobe Reader, MS Office 365 ProPlus и MS Outlook.

Читать дальше
Twitter
Одноклассники
Мой Мир

материал с xakep.ru

1

      Add

      You can create thematic collections and keep, for instance, all recipes in one place so you will never lose them.

      No images found
      Previous Next 0 / 0
      500
      • Advertisement
      • Animals
      • Architecture
      • Art
      • Auto
      • Aviation
      • Books
      • Cartoons
      • Celebrities
      • Children
      • Culture
      • Design
      • Economics
      • Education
      • Entertainment
      • Fashion
      • Fitness
      • Food
      • Gadgets
      • Games
      • Health
      • History
      • Hobby
      • Humor
      • Interior
      • Moto
      • Movies
      • Music
      • Nature
      • News
      • Photo
      • Pictures
      • Politics
      • Psychology
      • Science
      • Society
      • Sport
      • Technology
      • Travel
      • Video
      • Weapons
      • Web
      • Work
        Submit
        Valid formats are JPG, PNG, GIF.
        Not more than 5 Мb, please.
        30
        surfingbird.ru/site/
        RSS format guidelines
        500
        • Advertisement
        • Animals
        • Architecture
        • Art
        • Auto
        • Aviation
        • Books
        • Cartoons
        • Celebrities
        • Children
        • Culture
        • Design
        • Economics
        • Education
        • Entertainment
        • Fashion
        • Fitness
        • Food
        • Gadgets
        • Games
        • Health
        • History
        • Hobby
        • Humor
        • Interior
        • Moto
        • Movies
        • Music
        • Nature
        • News
        • Photo
        • Pictures
        • Politics
        • Psychology
        • Science
        • Society
        • Sport
        • Technology
        • Travel
        • Video
        • Weapons
        • Web
        • Work

          Submit

          Thank you! Wait for moderation.

          Тебе это не нравится?

          You can block the domain, tag, user or channel, and we'll stop recommend it to you. You can always unblock them in your settings.

          • xakep.ru
          • домен xakep.ru

          Get a link

          Спасибо, твоя жалоба принята.

          Log on to Surfingbird

          Recover
          Sign up

          or

          Welcome to Surfingbird.com!

          You'll find thousands of interesting pages, photos, and videos inside.
          Join!

          • Personal
            recommendations

          • Stash
            interesting and useful stuff

          • Anywhere,
            anytime

          Do we already know you? Login or restore the password.

          Close

          Add to collection

             

            Facebook

            Ваш профиль на рассмотрении, обновите страницу через несколько секунд

            Facebook

            К сожалению, вы не попадаете под условия акции