Chrome, Firefox, IE 10, Java, Win 8 - mind elesett a Pwn2Own 2013-on

 ( trey | 2013. március 7., csütörtök - 10:18 )


parancssor "nt authority\system" jogokkal

A Twitter-en olvasható friss tweetek és beszámolók szerint a kanadai CanSecWest keretében megrendezett Pwn2Own biztonsági vetélkedő alatt sikeresen exploitálták mind a Chrome, Firefox, IE 10 böngészőket, mind a Java-t, mint a Windows 8-at.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Resistance is futile

--
trey @ gépház

Az lenne a meglepö, ha nem így lenne.

--
robyboy

"Gondolkozni nehéz, ezért legtöbben ítélnek." - Márai Sándor

b+ a képről antivirtel égése jutott eszembe amikor rávágta hasonló szituációban, hogy ~mi ezzel a baj, csak egy calc-ot indított! :D

--
Vége a dalnak, háború lesz...

:))

Na de milyen bonyolultan ;oP

KAMI | 神
--
Támogatás | OxygenOffice | Fordításaim és SeaMonkey

Erről van valami link? :)

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

CTRL+F antivirtel, harmadik találat

szerk. ó' de rendes vagyok :) permalink

--
Vége a dalnak, háború lesz...

Pedig eskü néztem azt a threadet is! Mindegy, köszi. :)

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Az Opera persze most is töretlen maradt

:)
----
India delenda est.
Hülye pelikán

+1

:)

Hol található lista arról, hogy mit próbáltak és milyen eredménnyel?


"Belépés díjtalan, kilépés bizonytalan."

Itt.

Azaz az Opera nem is volt cél. Így könnyű. :D

(no, csak eggyel kellett volna tovább olvasnom. :D )
________________________________________
"The vision of Christ that thou dost see
Is my vision’s greatest enemy."

Koszi. Nekem is gyanus volt, hogy valami ilyen lehet a hatterben, mert sehol nem emeltek ki, hogy az Opera meg sikeresen allt minden probat, pedig az is nagy hir lenne, fokent ha mindenki bukik.


"Belépés díjtalan, kilépés bizonytalan."

Az Opera nem célpont, meg sem próbálták.
(Ezt Tetra postjára szerettem volna válaszként.)

Mert tudják, hogy esélytelen megtörni ;)

par honap es jok lesznek a webkites exploitok is :-)

--
NetBSD - Simplicity is prerequisite for reliability

ha annyira jó, miért maradt ki a tesztből? a kb. 4%-os böngészőpiaci részesedés miatt nem célpont?

Mérhető a részesedése? Mérhető. Innentől kezdve csak maszatolás, hogy miért nem fogalkoznak vele.

:)

Ajánlj fel te is 100 ezer dollárt és máris lesz Operára is jelentkező... ;)

Ááá, olyan marginális böngésző, senkit se érdekel :)

Szerintem 100 ezer dollárért még itt a hupon is találsz rá embert, aki összeüt neked egy Opera exploitot. :)

"Not Found
The requested URL /opera.html was not found on this server."

:(

Pedig ez nem volt olyan bonyolult mondat.

Senki, még a saját anyja sem kíváncsi az opera sebezhetőségeire...
Webkitre is azért váltanak mert a webes szolgáltatások fejlesztésekor is csak a futottak még kategóriás verziót kapják az oldalakból a jelenlegi viking származású layout motor miatt.

Egy ilyen versenyen miért nem próbálnak meg mondjuk kicsit nagyobb falatot lenyelni? Például Grsec-es újabb kernel + Apparmor(vagy SELinux, stb..) + Sandbox módban indított Chrome, FF, stb. kombók, variációk... Erre lennék igazán kíváncsi hogyan csinálják.

Mert a felhasználók 99.99999999%-ának nem ilyen összeállítás fut a gépén, és nem az a lényeg, hogy sikerül-e az atomra biztosított
gépet iszonyat efforttal megtörni, hanem hogy Jack és Jill-nek a gépét, loggolni a hitelkártyaszámát, és lenyúlni a pénzét.

^this

Azok az arcok akik azokat torik nem ennyi penzert csinaljak, jobban megeri nekik ha a hatterben maradnak:)

Google szokás szerint ismét a Pwn2Own verseny előtt adott ki gyorsan egy új verziót, hogy hamis biztonságérzetet sugallhasson, ha a megváltozott binárisok miatt nem működnének a jelentkezők exploitjai... "Sajnos" ezúttal nem jött össze a trükközésük.

Éljenek a hibatűrő exploitok. :)

ez jó :D

A nagy trükk: javítanak ;] szemetek

Azzal nincs semmi baj ha javitanak, azzal van baj, h ezt csak azert teszik, h nyilvanvaloan es nem eloszor szettrollkodjanak egy megmerettetest ami igy fake eredmennyel zarulhat. ;] Bar epp az elobb oktattak ki, h mivel a Chrome ingyen van ezert nincs jogom velemenyezni. :-)

---
pontscho / fresh!mindworkz

Ha a szabályok megengedik, akkor a többiek is mgethették volna, főleg tanulva a tavalyiból. A szabályhozók hibája, hogy egyáltatlán van erre lehetőség, ettől még nem korrekt ez a húzás a Google-től.

Senki sem vitatta a szabalyossagat, ez itt szimplan a "don't be evil" elv gyakorlati alkalmazasa. :)

---
pontscho / fresh!mindworkz

Vagy csinálhatnának egy honeypot sebezhetőséget FF-ék is, melyet a verseny előtt pár nappal ők is javítanának.

A nagy trükk: új release (== új binárisok, megváltozott memory layout) közvetlenül a verseny előtt, hogy ha nincsenek is javítva a kihasznált hibák, akkor se működjenek az exploitok kapásból -> sportszerűtlenek, a valódi problémák elfedésére játszanak.

A valóságban a userek böngészői nem mágikus módon a kihasználások előtti napokban kerülnek épp pont frissítésre.

Kapitalizmus van, más oldalról közelíteném meg a dolgot: a többi böngészőgyártó megint olyan naiv/rugalmatlan volt, hogy nem Pwn2own előtti napon adott ki új verziót, pedig tanulhatott volna a Kugli tavalyi húzásából. ;)

A "többi böngészőgyártó" (== Microsoft) nem fog ilyen övön aluli húzásokkal operálni egy Pwn2Own verseny miatt.

Igen, ebben a Google volt jóval etikátlanabb a többinél, de minden hasonló méretű cégnek tonnaszámra lehetne hozni a hasonlóan etikátlan húzásait. Nem védeni akarom, csak ebben a világban nagy multiktól ez a hozzállás nem szokatlan (pláne ha elhanyagolható számú ember érti, hogy mitől etikátlan ez a húzás), és lassan illene a szabályok alkotóinak is "okosabbnak lenni", pláne ha már tavaly is volt ebből baj.

Az viszont tényleg külön csúnya a Google-től, hogy még csak nem is a hibát foltozták, hanem tüneti kezeléshez fordultak.

Valószínűleg az van, hogy a szabályok alkotói sem tudnak jobbat kitalálni.

Lehetne azt csinálni egyébként, hogy mondjuk előre kikötik, hogy az egy vagy két héttel ezelőtti verziót fogják telepíteni, de a már ismert/bejelentett/publikus hibák kihasználása nem játszik. Akkor a versenyzők is kötelezve lennének arra, hogy valóban 0day hibákat használjanak ki és a vendorok sem trükközhetnének ilyen pitiáner módokon.

A probléma ezzel csak az, hogy a vendorok nem kezdenek-e el azzal trükközni akkor majd, hogy ráfogják az adott 0day-ra, hogy ők arról már bizony tudtak (és akár valahogy becsempészik a bugtrackerjükbe).

Erre lehetne esetleg további megoldás, hogy a vendoroknak előtte kötelező módon le kellene adni az ismert, de még nem kijavított hibák listáját. Viszont ebbe szerintem egyik se menne bele...

lehet nem szokatlan, de nekünk meg az a dolgunk, hogy ezt negatívan értékeljük és ne fogadjuk el :)

Eddig a pontig nem értettem a hozzászólásaid, de itt jöttem rá, hogy az elejétől ironizálsz.


"Belépés díjtalan, kilépés bizonytalan."

Biztos azért, mert nem kedden volt a verseny. Azok csak kedden javítanak. Ritka esetben (=szarrá cinkelik őket előtte a neten) csinálnak soron kívüli javítást / kiadást.

--
trey @ gépház

Ezert kell papirt es ceruzat hasznalni.

Na es a tobbi egzotikus bongeszovel mi a helyzet, pl. konqueror, rekonq (Lynx :D)?

Még annyi jelentőségük sincs, mint az Operának, semmi értelme ilyen versenyeken szerepeltetni őket. A Konqueror KHTML (WebKit, én vagyok az apád!), de használható WebKit motorral is, a Rekonq pedig alapból WebKit (vagy QtWebKit).

A Konqueror már webkit by default, szerintem (vagy a Fedora patchelte nálam e szerint).

Ha jól értem a cikket, akkor ezek Win illetve OS X -en futó böngészők voltak, Linux (és egyéb rokon) oprendszereken nem folyt verseny.

Mennyire voltak oprendszer specifikusak a törések? Azaz ugyanaz a törés működött volna-e pl. egy standard Ubuntu disztrón is?

Teljesen ugyan ezek biztos hogy nem, mivel szinte mindegyik exploit tobb komponensbol tevodott ossze, amik kozott voltak OS specifikus reszek is (ASLR, DEP megkerulese), viszont az alap koncepciot (es tippre a payloadot is ) mas oprendszereken is hasznalhatnak, ergo csak minimalis atalakitas kene, hogy mas rendszerek alatt is mukodjon pl egy Firefox exploit Linux alatt (foleg ha figyelembe veszem, hogy a standard Linux, elbujhat a sarokban egy Win7-hez kepest implementalt biztonsagi megoldasok teren meg igy is..)
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..