Pwn2Own 1 nap, eddig elesett: Adobe Reader, SharePoint, Tesla Gateway, Ubuntu desktop, macOS, Windows 11 ...

Teljes fordulatszámon pörög a Zero Day Initiative (ZDI) népszerű, biztonsági szakemberek számára szervezett "törjünk fel mindent, amit csak tudunk komoly pénzdíjakért és dicsőségpontokért" vetélkedője, a Pwn2Own:

 

AbdulAziz Hariri-nek kevesebb mint 15 másodperc kellett a macOS-en futó Adobe Reader feltöréséhez ☝‍️

 

Elesett a Microsoft SharePoint is, mindössze 30 másodperc kellett az exploit sikeres futtatásához ☝‍️

Az Oracle VirtualBox is elesett ☝‍️

Meghackelték a Tesla Gateway-t is. 100 000 USD és egy Tesla 3 volt a díj. Plusz pontok. ☝‍️

Ubuntu Desktop-ot is sikeresen támadták. A támadás értékéből levon kicsit az, hogy az exploit már ismert volt. ☝‍️

A macOS is áldozatul esett ... ☝‍️

és a Windows 11 is ... ☝‍️

A pontverseny állása az első nap után ☝‍️

Hozzászólások

Mert az újabb mindig jobb™ és biztonságosabb™.

Azt akarom mondani, hogy a régiekben fix számú hiba van, amit ha javítanak, a hibák száma monoton csökkenő tendenciát vesz. Eközben az állandóan innovált™ (értsd: feleslegesen kerékújrafeltalált) szoftverekben újratermelődik.

Azt akarom mondani, hogy a régiekben fix számú hiba nagy része javított, vagy ha nem, legalább ismert és így lehet workaroundolni, vagy védekezni ellene. Eközben az állandóan innovált™ szoftverekben a kerékújrafeltalálgatás közben vétett új hibák nagy része csak a dark web, hackerék és a különféle titkosszolgálatok számára ismert, egészen addig, amíg ki nem jön valamelyik hackerversenyen, vagy valamelyik konkurens multi nem full disclosure-öl, de addigra már bekerült még egyszer ugyanannyi hiba a fejjel a falnak agilitásnak™ és a babzsákfejlesztői morálnak köszönhetően.

Ebben mondjuk igazad van.

van is az a mondás, hogy:

a szoftverfrissítés a régi ismert hibák, új ismeretlenekre való cserélését jelenti.

 

Az 'agilis módszertan' a gyakorlatban még rátesz erre egy lapáttál:

nem kell 'bugfixekkel' foglalkozni, majd a következő release-ben javítjuk...

 

A végeredményt mindannyian láthatjuk - csak várhatóan más-más szemszögből.

Ubuntu Desktop-ot is sikeresen támadták. A támadás értékéből levon kicsit az, hogy az exploit már ismert volt.

Ez a Ubuntu értékéből is levon kicsit, nem?

igen, de a szépséghibája, hogy ezeket nem ott és akkor 'találják' ám...

Sokkal inkább egész évben 'gyűjtögetik', tesztelik, felkészülnek hogy a következő ilyen - vagy hasonló - eseményen kijátszák ad adujukat.

Ezidő alatt a vendor sem tud róla, de természetesen a hibák valósak és legtöbbször kihasználhatóak is.

A többit a fantáziádra bízom.

 

És mint az élet minden területén, vannak akik inkább sötét oldallal üzletelnek.  - a szépen hangzó nyeremények többszöröséért.

ezzel nem feltétlenül értek egyet. a régi sw-ben sokszor egy csomó hiba van amit nem lehet javítani, mert a funkcionalitás rovására megy. sajnos sok olyan sw láttam ahol xy verzioval működött a funkció. ha firssítettek volna az sok száz komponenst érint. ezért inkább workaroundoltak ami soha nem lehetett 100%-s. az újban is lehet hiba és ahogy írták nem feltétlenül etikusan teszik közzé, sajnos - de én azt látom h kód szinten javulnak a dolgok. Tervezésileg és üzletileg már nem feltétlenül....

A legértékesebb idő a pillanat amelyben élsz.
https://sites.google.com/site/jupiter2005ster/