Zamknij komunikat

Nowy Office 2013
Do góry Skomentuj

Przeglądarki Edge i Safari poległy już pierws...

Przeglądarki Edge i Safari poległy już pierwszego dnia hackathonu Pwn2Own 2018

Na bezpieczeństwo naszych komputerów i aplikacji wpływa wiele czynników, a jednym z nich są regularnie przeprowadzane testy badające zabezpieczenia. Testy takie mogą być przeprowadzane zarówno w formie zamkniętej (gdzie wyniki nie opuszczają firmy), jak i otwartej – zwykle w postaci tak zwanych hackathonów trwających kilka dni. Podczas tego typu wydarzeń całe zastępy speców próbują włamać się do aplikacji, zaś udane próby nagradzane są przez fundatorów sporą kwotą, która w zasadzie stanowi zapłatę za wykonaną pracę. Jak się okazuje, metoda ta jest wydajniejsza i korzystniejsza finansowo od stałego zatrudniania fachowców od włamań w cyberprzestrzeni.

Tak dla większości ludzi wygląda włamywanie się do systemów IT

Niedawno, przy okazji corocznej konferencji CanSecWest w Vancouver, odbył się hackathon Pwn2Own. Już od pierwszego dnia wydarzenia uwaga uczestników skupiona była głównie na dwóch przeglądarkach – stworzonym przez Microsoft Edge oraz Safari (za którą odpowiada Apple). Zainteresowanie to spowodowane było głównie tym, że wydawały się one najłatwiejsze do spenetrowania, a jak wiadomo, podczas hackathonów nagrody otrzymują tylko autorzy udanych ataków.

Okazało się, że zarówno zabezpieczenia Edge, jak i Safari zostały złamane już pierwszego dnia wydarzenia. W przypadku Safari konieczne było podniesienie uprawnień w kernelu (Eop) oraz użycie łańcucha utworzonego z trzech występujących po sobie błędów, co pozwoliło finalnie przeprowadzić udaną próbę ataku. Nieco inaczej było w przypadku Edge, gdzie poza skorzystaniem z EoP konieczne było wykorzystanie dwóch luk w zabezpieczeniach typu UAF. Również w tym przypadku operacja zakończyła się sukcesem. Za atakiem na Edge stał Richard Zhu, który został nagrodzony kwotą 70 tysięcy dolarów, zaś Samuel Groß za spenetrowanie zabezpieczeń Safari otrzymał 65 tysięcy dolarów.

Fakt złamania zabezpieczeń Safari czy Edge dla wielu może być nieprzyjemnym zaskoczeniem, jednak w praktyce nie ma się czym zamartwiać. Przy obu atakach wykonanych podczas Pwn2Own wykorzystano wyrafinowane techniki i szereg znanych od dawna luk w zabezpieczeniach, które dopiero w przypadku odpowiedniej kombinacji okazują się groźne. Mało tego, zarówno Microsoft, jak i Apple niebawem wydadzą odpowiednie łatki zabezpieczające przed próbą powielenia przedstawionych metod ataku (mimo iż szanse na jego wykonanie przez cyberprzestępców są znikome).

Amadeusz Labuda
19 marca 2018, 09:43
864
Odsłony
Amadeusz Labuda
19 marca 2018, 09:43
864
Odsłony



Komentarze

Nie napisano jeszcze ani jednego komentarza. Twój może być pierwszy.

Dodaj swój komentarz

Zasady publikacji komentarzyZasady publikacji komentarzy

Redakcja CentrumXP.pl nie odpowiada za treść komentarzy publikowanych na stronach Portalu
i zastrzega sobie prawo do usuwania wypowiedzi, które:

  • zawierają słowa wulgarne, obraźliwe, prowokujące i inne naruszające dobre obyczaje;
  • są jedynie próbami reklamowania stron internetowych (spamowanie poprzez umieszczanie linków);
  • przyczyniają się do złamania prawa bądź warunków licencyjnych oprogramowania (cracki, seriale, torrenty itp.);
  • zawierają dane osobowe, teleadresowe, adresy mailowe lub numery GG;
  • merytorycznie nie wnoszą nic do dyskusji lub nie mają związku z tematem komentowanego newsa, artykułu bądź pliku.