Re: A Safari és az IE esett elõször a hackerek áldozatául

#1 HWSW

HWSW

Csoport: Stábtag
Hozzászólások: 9.283
Csatlakozott: 2009. márc. 17.

Elküldve: 2011. 03. 10. 09:51

A vancouveri CanSecWest biztonsági konferencián tegnap kezdõdött a Pwn2Own verseny, ahol a népszerû böngészõket sikeresen feltörõ szakemberek több ezer dollárral és a szoftvert futtató számítógéppel lettek gazdagabbak. Szokás szerint az Apple Safari esett el elõször, de az IE8 is elsõre kapitulált.
https://www.hwsw.hu/hirek/46302/apple-safari-microsoft-internet-explorer-google-chrome-mozilla-firefox-bongeszo-biztonsag.html

${lang:go_to_top}$
Tetejére of the page up there ^

#2 edward2

Csoport: Alkalmi fórumtag
Hozzászólások: 111
Csatlakozott: --

Elküldve: 2011. 03. 10. 09:51

Opera???

${lang:go_to_top}$
Tetejére of the page up there ^

#3 Ytse

Őstag

Csoport: Stábtag
Hozzászólások: 7.244
Csatlakozott: 2000. okt. 26.

Elküldve: 2011. 03. 10. 10:00

@edward2: nem szerepel a versenyben

${lang:go_to_top}$
Tetejére of the page up there ^

#4 Guest_moonman_*

Csoport: Vendég

Elküldve: 2011. 03. 10. 10:09

Bocsánat, hogy máshonnan idézek, de néhány részletet nem árt pontosítani:

"A Google és a Mozilla böngészõjét egyelõre nem tudták a háromnapos versenyen feltörni - amiben azonban nincs semmi meglepõ, tekintve, hogy a szóban forgó cégek napokkal a verseny elõtt soron kívüli javítácsomagot adtak ki böngészõikhez, amik vélhetõen a hackerek által korábban elõkészített támadások kivitelezését lehetetlenné tették még akkor is, ha bõven maradt kihasználható biztonsági rés a szóban forgó böngészõkben."

"A Google például nem kevesebb, mint 25 darab (!) sebezhetõséget javított a Chrome csak egy nappal a verseny elõtt kiadott új, 10-es verziójában, de a március elején sebtiben a 9-es verzióhoz kiadott foltcsomag is 19 darab biztonsági rést zárt le, amelyek közül 16 súlyos besorolású volt. Ilyen körülmények között nem csoda, hogy a korábban a Chrome feltörésével megpróbálkozni szándékozó hacker végül nem is jelent meg a versenyen."

${lang:go_to_top}$
Tetejére of the page up there ^

#5 nhw

Senior tag

Csoport: Fórumtag
Hozzászólások: 3.321
Csatlakozott: --

Elküldve: 2011. 03. 10. 10:09

"Pwn2Own" hát... ez asszem nem királyi angol.

"A journey of a thousand miles began with a single step." // Lao Tzu

${lang:go_to_top}$
Tetejére of the page up there ^

#6 nhw

Senior tag

Csoport: Fórumtag
Hozzászólások: 3.321
Csatlakozott: --

Elküldve: 2011. 03. 10. 10:12

@moonman: Uhhh... "korrekt" egy versenytárs a google

Majd úgy állítják be, hogy: "Látjátok mi milyen gyorsan javítunk..."

"A journey of a thousand miles began with a single step." // Lao Tzu

${lang:go_to_top}$
Tetejére of the page up there ^

#7 kockulat

Senior tag

Csoport: Fórumtag
Hozzászólások: 4.346
Csatlakozott: --

Elküldve: 2011. 03. 10. 10:13

@moonman: "Pwn2Own versenyben azonban a különféle böngészõk két héttel ezelõtt elérhetõ verziói szerepeltek:"

De ettõl eltekintve kíváncsi lennék mennyit fizetett a Google a beregisztrált törõknek, hogy NE jelenlenek meg, inkább nekik meséljék el a sebezhetõséget

${lang:go_to_top}$
Tetejére of the page up there ^

#8 Ytse

Őstag

Csoport: Stábtag
Hozzászólások: 7.244
Csatlakozott: 2000. okt. 26.

Elküldve: 2011. 03. 10. 10:14

@moonman: A Pwn2Own-ban a böngészõk két hete kiadott verzióin kellett bemutatni a töréseket, tehát teljesen irreleváns, hogy az elmúlt pár napban ki mit foltozott vagy nem foltozott be. A Mozilla Firefoxot azért sem törhették meg, mert az ma kerül sorra, Vancouverben, a konferencia helyszínén pedig jelenleg hajnali 1 óra van -- mindenki alszik.

${lang:go_to_top}$
Tetejére of the page up there ^

#9 szvn

Újonc

Csoport: Alkalmi fórumtag
Hozzászólások: 42
Csatlakozott: --

Elküldve: 2011. 03. 10. 10:15

@nhw: Végülis pontosan ez az, amit elvárnánk ezektõl a cégektõl - hogy amilyen gyorsan csak lehet, foltozzák be a biztonsági réseket. És pontosan ez az, amiben az MS és az Apple sem jár az élen.

${lang:go_to_top}$
Tetejére of the page up there ^

#10 szvn

Újonc

Csoport: Alkalmi fórumtag
Hozzászólások: 42
Csatlakozott: --

Elküldve: 2011. 03. 10. 10:17

@kockulat: 35 ezernél biztosan többet, mert ennyit nyertek volna

${lang:go_to_top}$
Tetejére of the page up there ^

#11 Ytse

Őstag

Csoport: Stábtag
Hozzászólások: 7.244
Csatlakozott: 2000. okt. 26.

Elküldve: 2011. 03. 10. 10:19

@kockulat: a Chrome esetében a Google a 20 ezer dollárt csak akkor adta volna oda, ha a legfrissebb, tehát nem két héttel ezelõtti verzión is megy a törés, lehet hogy ez vette el a próbálkozók kedvét

${lang:go_to_top}$
Tetejére of the page up there ^

#12 Guest_moonman_*

Csoport: Vendég

Elküldve: 2011. 03. 10. 10:20

@szvn: Egy nemrég megjelent tanulmány szerint (ami asszem a Secunia is alátámasztott) az MS az egyik leggyorsabb patch-elõ.

${lang:go_to_top}$
Tetejére of the page up there ^

#13 Guest_moonman_*

Csoport: Vendég

Elküldve: 2011. 03. 10. 10:24

"A Microsoft Internet Explorer 8 is rögtön az elsõ próbálkozásra elesett, a sikeres törést Stephen Fewer, a Harmony Security biztonsági cég alapítója mutatta be [..] saját bevallása szerint meglepõen egyszerû volt kikerülni a védelmet."

Ide meg megemlíthetnénk, hogy valójában három különbözõ exploitot kombinálva tudta csak megcsinálni, ami a "meglepõen egyszerûtõl" azért szvsz kicsit odébb van.

${lang:go_to_top}$
Tetejére of the page up there ^

#14 Ytse

Őstag

Csoport: Stábtag
Hozzászólások: 7.244
Csatlakozott: 2000. okt. 26.

Elküldve: 2011. 03. 10. 10:27

@moonman: ha õ azt mondja hogy meglepõen egyszerû, akkor azt mondja, ezzel én innen nem tudok vitatkozni

The (sandbox) escape I found was pretty easy, to be honest, he said. Surprisingly so. http://www.theregister.co.uk/2011/03/10/apple_safari_ie_stomped/page2.html

${lang:go_to_top}$
Tetejére of the page up there ^

#15 szvn

Újonc

Csoport: Alkalmi fórumtag
Hozzászólások: 42
Csatlakozott: --

Elküldve: 2011. 03. 10. 10:38

@moonman: Bár annyi húszezresem lenne, ahányszor olyan vírusok szabadultak el, amik azokat a biztonsági réseket használták ki, amiket az MS hónapok alatt sem foltozott

${lang:go_to_top}$
Tetejére of the page up there ^

#16 Guest_moonman_*

Csoport: Vendég

Elküldve: 2011. 03. 10. 10:39

@szvn: Úgyérted, azokat a biztonsági réseket, amikre a userek hónapok alatt is b.sztak feltelepíteni a frissítéseket...

${lang:go_to_top}$
Tetejére of the page up there ^

#17 floatr

Törzsvendég

Csoport: Fórumtag
Hozzászólások: 1.019
Csatlakozott: --

Elküldve: 2011. 03. 10. 10:42

@moonman: Megint beszippantod sting hülyeségét. Bár néha naponta foltozgatják, de tavaly meg tudták csinálni, hogy az ismert határidõ elõtt egy kicsit többet foltoztak -- most nem. De senkinek nem volt megtiltva, hogy akár két héttel ezelõtt is kiadjon javításokat.
A kombinált exploit meg ezek szerint azt jelenti, hogy 3 komponensben is talált hibát, ami tbk azért is szomorú, mert még mindig célplatform...

${lang:go_to_top}$
Tetejére of the page up there ^

#18 floatr

Törzsvendég

Csoport: Fórumtag
Hozzászólások: 1.019
Csatlakozott: --

Elküldve: 2011. 03. 10. 10:43

@Bodnár Ádám: Ha még a gugli nem is adott volna, de a szervezõktõl kaptak volna egy kis zsebpénzt. Lehet h inkább eladta másnak

${lang:go_to_top}$
Tetejére of the page up there ^

#19 szvn

Újonc

Csoport: Alkalmi fórumtag
Hozzászólások: 42
Csatlakozott: --

Elküldve: 2011. 03. 10. 10:44

@moonman: Nem, nem, pontosan úgy értettem, ahogy írtam. Az én múltamban bizony akadt olyan, amikor elszabadult egy féregvírus, ami olyan hibát használt ki, ami már hónapok óta közismert volt (akkoriban bõszen cikkeztek is róla). Egy héttel késõbb megjelent a patch is hozzá. És biztos vagyok benne, hogy nem ez volt az egyetlen, csak nem követem annyira, hogy fel is tudjak ilyen eseteket sorolni. Pláne mivel az elmúlt néhány évben nem sûrûn dolgozom MS szoftverekkel.