Pillanatok alatt törte fel Charlie Miller a Safari-t a PWN 2 OWN versenyen

 ( trey | 2009. március 19., csütörtök - 9:19 )

Ahogy azt korábban Charlie Miller megjósolta, a Safari pillanatok alatt elvérzett az idei PWN 2 OWN biztonsági vetélkedőn. Másodikként az Internet Explorer 8 esett áldozatul, de a Firefox sem marad ki a sorból.

Charlie Miller
Charlie Miller, a 2008-as és 2009-es PWN 2 OWN győztese

"Csak néhány másodpercig tartott. Rákattintottak a linkre én pedig átvettem az irányítást a gép felett," - nyilatkozta a sikeres hack után pillanatokkal Miller.

A verseny délután 3:15-kor indult, de nem sokkal később Miller már fel is vehette a győztesnek járó 5 000 dolláros jutalmat, plusz megtarthatta a MacBook-ot.

A versenyen kihasznált sebezhetőség részleteit addig nem publikálják, amíg a javítás meg nem történik.

Egy kicsit tovább tartott, de az Internet Explorer 8 sem tudott sokáig ellenállni a támadásoknak. Egy "Nils" névre hallgató biztonsági szakértő (a teljes nevét nem adta meg) a sikeres támadás után átvehette az irányítást Windows 7-et futtató a Sony Vaio-n. Szintén pénzjutalomban részesült és szintén megtarthatta a vasat.

Nils ezután nekiállt a Safari-nak, amelyet pillanatok alatt hackelt meg, majd ezt követően a délután folyamán a Firefox-ot is legyűrte egy 0day sebezhetőség kihasználásával.

A részletek itt és itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Oprendszer számít valamit ezeknél a támadásoknál?

Ugyanúgy feltörnek egy linuxos gépet Firefox-al?
--

I love the smell of flame in the morning!!! :D

A Firefox is Windows 7-en és OS X-en futott. Linux nem szerepelt a versenyen.

--
trey @ gépház

Évente cseréli a MacBookot. Ez azért is jó, mert van min készülnie a következő évre ;-)

Na most a Mac-fanok forognak -a sí...- a forgószéken :)

----- www.blackpanther.hu -----

Csak annyira mint az IE és az FF felhasználók.

Ave, Saabi.

A Windows+IE felhasználók nem annyira, ott alapértelmezetten kevesebb joggal fut a böngésző. Tehát ha meg is törte, nem fért hozzá (talán) a személyes cuccokhoz.
Nálam mondjuk Windows és Linux alatt is alap, hogy egy dedikált userrel böngészek, akinek csak egy Download könyvtárra van írási, olvasási joga, az egyéb cuccaimat nem is látja.

Windows+IE felhasználók nem annyira, ott alapértelmezetten kevesebb joggal fut a böngésző.
Akkor mégis, hogyan sikerült átvennie Nils-nek az iránytást a Windows 7 felett?

"What is owned? - code execution within context of application"
Link

ez mekkora ötlet, hogy külön korlátozott user-rel böngész az ember:P:P ^ ^

+1. Lukmentes program nincs. (Nem a "helloworld.c" sem az...)

Ez így van. Itt alapértelmezetten telepített böngészőket támadtak az első napona kiírás szerint (Day 1: Default install no additional plugins).

Érdekes lehetne egy olyan vizsgálat, hogy melyiket milyen biztonsági szintre lehet pimpelni 3rd party kiegészítőkkel (pl. NoScript).

--
trey @ gépház

"A biztonsag maximalisra fokozhato, a hasznalhatosag rovasara" :)
Az ecetes-ollo(tm) v1.1 3.party cuccnak szamit? :)

… viszont sajnos ez esetben figyelembe kéne venni a használhatóság kérdéskörét is.
Pl. egy firefox noscripttel gyakran eléggé kiherélt felhasználói élményt nyújt. Ha valaki ír egy kiterjesztrést, ami bezárja a böngészőt még mielőtt normálisan elindulhatna, máris jelentősen megnöövelte a biztonságot…

Esetleg be lehetne vezetni kritériumnak ebben az esetben, hogy a felhasználóiu élmény nem múlhatja alul az IE7-et:)

—-—-—
int getRandomNumber() {
	return 4;//szabályos kockadobással választva.
}		//garantáltan véletlenszerű. xkcd

Ritkán lehet a biztonságot fokozni anélkül, hogy az ne menjen a felhasználói élmény vagy a kényelem rovására. Itt a kérdés inkább az volt, hogy a böngészők melyikét lehet egyáltalán biztonságosabbá tenni, ha arra van szükség, akár a felhasználói élmény rovására is. Lehet, hogy valamelyiket jobban lehet, a más kevésbé illetve lehet, hogy valamelyiket lehet, ha kell, a másikat akkor sem lehet, ha belegebedsz, stb. Valahol ez is szempont lehet.

--
trey @ gépház

Ez úgy lenne maradéktalanul igaz, ha az Apple tábor biztonsági oldalon nem lenne olyan nagyképű, hogy ott aztán minden biztonságban van. Látható, nincs. De gondolom ezt is megmagyarázzák.

"nem lenne olyan nagyképű"

Hol? Ebben e threadben egy Apple fanboy sincs, nem tudom minek gyűlölködsz.

--
The Net is indeed vast and infinite...
http://gablog.eu

Itt nekem igazabol az latszik, h biztonsag szempontjabol kb tokmindegy melyik browsert hasznalod (marmint az alap telepitest/beallitasokat hasznalva).

Tényleg. Mint ahogy -szigorúan biztonság szempontjából- az is tökmindegy, hogy az autók között megyek-e végig a nagykörúton, vagy a járdán, mert az egyik helyen elüthetnek, de a másikon is fejemre eshet egy zongora. Bármikor.
Hint-hint: azért az, hogy ezeknek a csúcsprofi alakoknak mennyi ideig tartott megtörni egyiket a másikhoz képest, vagy éppen melyikkel kezdték, hogy "ez gyorsan meglesz", engedhet következtetni erre-arra.
Vagy el lehet gondolkozni a botnetes/adathalász dilemmáján: szenvedjek három hónapot azon, hogy a firefoxot is "támogassam" néhány hónapig (), vagy elégedjek meg azzal, hogy a nagyobb részesedéssel bíró explorerrel három hét kutatás/kísérletezés után olyan eredményem van, ami ráadásul jó esetben egy-két-három évig még aktívan kihasználható? (És ezen a ponton azt sejti az ember, hogy az Opera itt már aztán szóba sem jön. Érdekes módon a Safari meg igen.)

vagy esetleg

80% ban IE-t hasznalnak az emberek?
jo akkor erre keresek valamit

eleg nagy tevedes azt gondolni h a firefox jobb szekjuriti szempontbol mint az IE

--
.

Szekjuriti szempontbol tehat hasznaljunk olyan browsert, ami lehetoleg a legkevesbe elterjedt, mert arra a legkevesbe valoszinu, hogy "keresnek valamit"?

ha statisztikai alapon akarod megkozeliteni a problemat akkor igen
--
.

amint találsz erre olyan reportot, amire minden huptag rábólint, igazat adok :P
értelemszerűűleg hogy melyik jobb szekjuriti szempontból, csakis kizárólag attól függ, hogy ki csinál(tat)ta a statisztikát;)

—-—-—
int getRandomNumber() {
	return 4;//szabályos kockadobással választva.
}		//garantáltan véletlenszerű. xkcd

"Hint-hint: azért az, hogy ezeknek a csúcsprofi alakoknak mennyi ideig tartott megtörni egyiket a másikhoz képest, vagy éppen melyikkel kezdték, hogy "ez gyorsan meglesz", engedhet következtetni erre-arra."

... mint pl. a 10 ujjas gepelesi sebessegukre. Ami igazan erdekes lenne, hogy mennyi ido alatt talaltak a bugot, es mennyi ido alatt irtak ra az exploitot, de ezt nem nagyon reklamozzak.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Sziasztok,

En peldaul Apple "hivo" vagyok. Imadom az OS X-et es a Safarit. Viszont tisztaban vagyok vele, hogy biztonsag tekinteteben lehetne sokkal jobb is az Apple... de sajnos nem az. Ettol en meg Apple termeket fogok hasznalni mert sok eves Windows majd sok eves Linux felhasznalas utan nekem tud olyat adni amit a masik ketto nem (Pl, gyorsan feltorheto bongeszot :-D). Sosem mondtam, hogy az Apple biztonsago, de remelem hogy ez valtozni fog. Pont azert orulok ezeknek mert felhivja a gyarto figyelmet, hogy gaz van.

B.

te kis naív ;)
---
/* No comment */
Ketchup elementál megidézése a sajt síkra

épp most szopok az ff legújabb verziójával...
saját fejlesztésű js rendszerem kiakasztja:
jópofa kivételkezelős hibaüzenet és néha üres tartalmú ok/mégse üzenet
grrrr...

biztos nem benned, vagy a kododban van a hiba.
jquery meg prototype is csak veletlenul fut rajta :)

Tyrael

ugyan, az gaz, gonosz nemdokumentált hívásokat használ, hogy versenyelőnyhöz jusson... -_-

--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.

dinamikus script tag-ot, ki is derült, hogy az ff elég bután végzi a behivatkozott js fájlok futtatását, de workarounddal megoldottam...
http://hup.hu/node/61765
Ekkor derült ki az is, hogy a dinamikus iframe tagtól hibaüzenet nélkül leáll az Opera js motorja (azóta már javíthatták)

most valószínűleg nem ezzel van a baj, mert megkapom vele az értéket... valami nagyon alap dologgal lehet a baj, a kapott érték feldolgozásánál.

3.0.3 még jó volt, majd kipróbálom a többi köztes verzióval is.
Még nem volt időm egy lecsupaszított verziót csinálni, ami produkálja a hibát. Ha meglesz, akkor próbálok workaroundot csinálni, valamint küldök bugreportot a fejlesztőknek.

"An error occurred throwing an exception" - ráadásul magyar nyelvű böngészőben (más os alattival is)
Az üres tartalmú csak ok/mégsem gombot tartalmazó figyelmeztető ablak sem túl természetes jelenség, de ezt nem mindig produkálja (eddig 2x sikerült kétféle környezetben)

A 'channel.contentType = "application/vnd.mozilla.maybe.feed"; exception' bug is jóideje benne van az ff-ben.

Majd később kipróbálom azt is, hogy a végleges ie8 elszáll e attól a pár soros js kódomtól amitők a 6-7 verziók általában elszálltak (3rd party "immunizált" ie-vel nem). Ezesetben én voltam a hülye, mert valóban logikátlan az a kód, de mégsem kéne összeomlania tőle.

Webkit motorban is találtam már hibát, de azt addigra a nightly buildben javították. Abban annyiból is jobb a helyzet, hogy 2 emelettel odébb lakik egyik haver, aki rendszeresen commitol a kódbázisába, így őt is nyaggathatom :D Ha átmegy a legújabb optimalizálásuk, akkor jópár százalékot gyorsul hamarosan.

Operában renderelési bugba sikerült futnom, nem mindegy neki, hogy class változtatásával, vagy dom-os css paraméterek változtatással módosítok elemeket. (rosszabb esetben nem rajzolta újra a területet, csak ha átméreteztem az ablakot) Nem próbáltam, hogy javították-e azóta, mert workarounddal kikerültem.

MySql egyik korábbi verziójából is sikerült kihoznom az összeomlést egy pár soros lekérdezéssel, szerencsére már javították azt is :D

nah kiderült a baj oka: én csináltam logikátlan műveletet, amit a 3.0.6 és korábbi verziók elnéztek... de valamit hangoltak a js futtatáson / iframe kezelés teljesítményén, így már kibukott a hibám... :B
(futás közben felülíródott egy eljárás és ezt nem szereti ;] )

Persze csak akkor, ha ők is csak a címet olvassák el.

:D

--
xterm

Opera teren mi helyzet?

Ott biztosan sok pecbe telik ez a dolog, mert 3 mp alatt átveszi a hatalmat és a bukott biztonság még nyom egy 8 perces áriát. Gondolom én... ;)


-- "Bízzál Istenben és tartsd szárazon a puskaport!" - Cromwell --
-- Sayusi Ando - http://sayusi.hu --

LOL

Muahahaha...
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

ez jó ;)

Nem volt a versenyben. Lehet túl könnyű lenne ;-)

Vaio - Windows 7
* IE8
* Firefox
* Chrome

Macintosh
* Safari
* Firefox

Én úgy láttam, itt böngészőket vettek górcső alá.
--
[Random Topical Haiku] (Slashdot.org) I've Got A Cool Site. What The Fuck? So Much Traffic! Now My Server's Down

Huh, ez jó ütős :-)

Talán nem véletlen. A való világgal szembemenő fanjaik meg csak mantrázzák nyugodtan magukban, hogy mégis, lelkük rajta, én nem vitatkozom velük, minek.
--
[Random Topical Haiku] (Slashdot.org) I've Got A Cool Site. What The Fuck? So Much Traffic! Now My Server's Down

"A való világgal szembemenő fanjaik meg csak mantrázzák nyugodtan magukban, hogy mégis, lelkük rajta, én nem vitatkozom velük, minek."

Butus kutyus.


No rainbow, no sugar

OK.
--
[Random Topical Haiku] (Slashdot.org) I've Got A Cool Site. What The Fuck? So Much Traffic! Now My Server's Down

No mi is arról beszélünk. Az Opera az, ellentétben a cikkben említett néhány sajtreszelővel.

Ugyanaz, mint ami a konquerorral és az epiphany-val :)


"A fejlesztot azert fizetik, hogy oldja meg a problemat. Ez egy kemeny szakma." - Chain-Q

Juhé! Megint a Safari a leggyorsabb!!! :D

állat! :D)))))))))))

----- www.blackpanther.hu -----

ROTFL

ez bemart rendesen ;~)) LOL

/mazursky

Love your job but never love your company!
Because you never know when your company stops loving you!

lolrotfl

ez karcolt :)

Ahogy ígérték! :-D
(biztonságosságról még nem láttam ígéretet. csak sebességről)

Ave, Saabi.

"Rákattintottak a linkre"

Tehát ehez kell egy láma user is aki rákattint minden linkre. A legtöbb biztonsági hiba kihasználása a userek lámaságán múlik.

Thanks Michael
"nem azzal van a baj, hanem azzal, hogy mit szeretnék, arról nincsen fogalmam." By vasy05

Macbook & MAC OS X Leopard & (K)Ubuntu X.XX

nem lehet, hogy mégis inkább azért volt így, hogy mérhető legyen a "kezdő pillanat"? elég nehéz eredményt hirtedni, ha nem lehet tudni mikor kezdődött a probléma.

--
xterm

oke, all a brozer az about:blank on, tord fel.
A rakattintott egy linkre az en olvasatomban azt jelenti, hogy egy html- oldalt lerendereltettek a safarival, es attol bukott fel a rendszer.

Aki be akar jutni egy rendszerbe, azt baromira nem erdekli, hogy a rendszergazda vagy a lama user fog neki akaratlanul hatso kaput nyitni. Mindig vannak elegen, akik rakattintanak.

--
The Net is indeed vast and infinite...
http://gablog.eu

Miért, te hogyan szoktál böngészni? Én speciel linkekre szoktam kattintani, de kíváncsi lennék a te módszeredre.
Vagy jövőbelátó tanfolyamot végeztél, és előre meg tudod érezni, hogy számodra melyik link veszélyes?

mielőtt rákattanna egy linkre megnézi a forráskódot. a böngésző ebben rejlő hibáit kiküszöbölendő netcattal.

—-—-—
int getRandomNumber() {
	return 4;//szabályos kockadobással választva.
}		//garantáltan véletlenszerű. xkcd

http://secunia.com/advisories/13609/

biztonsagos rendszer marpedig nincs.

Tyrael

igen, de az már nem a böngésző hibája, tehát lehet az almásszafari még biztonságos:P

az adott biztonsági hiba ellenben 2005-ös, azóta javíthatták. És forráskódnézéshez ne indítsuk a netcatot '-e'-vel;)

—-—-—
int getRandomNumber() {
	return 4;//szabályos kockadobással választva.
}		//garantáltan véletlenszerű. xkcd

Ugy latom, te meg nem olvastad a Szonda Ipsos legujabb felmereset, amely szerint a felhasznalok 90%-a kattintott mar linkre, vagy tervezi a kozeljovoben.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Elvileg nem lenne szabad, hogy biztonsági kockázatot jelentsen, ha bármilyen linkre rákattintok egy böngészőben. Ha van, az a böngésző, és nem a user hibája.

nettó vagy bruttó 10000 dollár?

Az USA egyes államaiban majdnem k_rvára mindegy. Welcome to Abszurdisztán!

Nézd meg azt is, hogy ott mi az, ami részben vagy teljesen ingyenes, mekkora az egyéb közteher magánembernek, vállalkozásnak...

Jaj! A tököm tele van már ebben az országban azzal, hogy támogatom a támogatott gázártámogatásodat, mert nagycsaládos vagy!!! Ne vegye el kétszer-háromszor adó formájában a pénzem több mint 2/3-át az állam és akkor szívesen fizetem a kórházi kezelésem (mert így nem, ugye?) és nem akarok semmilyen "támogatást" tőlük.

Lassan mi leszünk a tízmillió támogatott országa... :)

De gondolom szépen le tudod nekem vezetni, hogy az átlag amerikai rosszabul él, mint az átlag magyar! :)

Tudod,ha haza viszek éves szinten 20e-30e USD-t, amiből szinte nem adózom, akkor nem nagyon érdekel, hogy neked itt Mo.-on mit biztosít az állam az éves 5e USD-d mellé. :)

Szerintem azert azt se kene hinni, hogy ott nem adoznak az emberek..
http://en.wikipedia.org/wiki/Income_tax_in_the_United_States

Hat azert itt eleg kicsi szazalekok vannak. Meg persze azt se felejsuk, hogy az AFA 6-10%, elelmiszerre 0%, es amugy nagyjabol szinte minden ugyanannyiba kerul mint Mo-n, vagy olcsobb. Na jo, az orvosi ellatas nem, de tessek kotni biztositast.

Hidd el, nem az adókon múlik. Itt Finnországban pl nagyon magasak az adók, de amikor a 90-es években megszavaztatták a népet, hogy akarnak e kevesebb adót, cserébe kevesebb állami szolgáltatásokkal, akkor leszavazták ezt. Azóta is magasak az adók, cserébe a közoktatás, közegészségügy nagyon magas színvonalú, plusz a bérek is olyanok, hogy marad a többire is. Csak mondjuk itt nem ellopják a befizetett adót, hanem arra fordítják, amire beszedték. (Plusz alaptörvényben van rögzítve, hogy a költségvetés nem lehet deficites.) Azért ha választanom lehet (és lehet) az USA és a skandináv jóléti állam között, én ez utóbbira szavazok.
Csaba

de ez nem finnorszag es gyurcsanyi feri nem a telapo

--
.

Egyik fejes se volt télapó '89 óta. (igaz, volt egy hóbagoly)
Igaz, elötte se volt egy se télapó. Bár az adók kedvezőbbek voltak.

Ave, Saabi.

Azért ha választanom lehet (és lehet) az USA és a skandináv jóléti állam között, én ez utóbbira szavazok.

Ha nem lennének annyira északon, akkor én is. :)

Mi pl. nagyon élvezzük a globális felmelegedést :-)
Csaba

Akkor most már ott is nagymellú csajok szaladgálnak a tengerparton bikiniben, mint Floridában?
Nem a zsírfókákra gondolok! :)))

A legelső hivatkozott blog rosszul tudja, Charlie Miller nem 10K hanem 5K dollárt kapott. Javítva.

--
trey @ gépház