Pwn2Own 2011

Helyzetjelentés a 2011-es Pwn2Own versenyről.

Mint ahogy arról már korábban is hírt adtunk, tegnap kezdetét vette a 2011-es Pwn2Own verseny. A vancouveri CanSecWest konferencián helyet kapó megmérettetés rendelkezik talán a legnagyobb presztízzsel szakmai berkeken belül. Nem meglepő, hogy a gyártók is gőzerővel készültek az eseményre és próbálták termékeiket a a “legjobb” állapotba hozni, mielőtt a versenyzők nekiláttak volna a “munkának”.

Az Apple például végszóra, a verseny kezdetének napján adtak ki masszív, a Safari-t és az iOS-t érintő javítócsomagját. Az új Apple Safari 5.0.4 összesen 62 ismert sérülékenységet foltoz be, közülük a legveszélyesebb tetszőleges kód futtatását teszi lehetővé, ha az áldozat egy erre a célra elkészített weboldalra látogat. A sérülékenységek jelentős része a WebKit-ben, a nyilt forráskódú böngésző renderelő motorban volt.

Azonban még így is a Safari/Macbook hasalt el elsőként. A francia behatolás tesztelő cég, a VUPEN kutatócsapata sikeresen kihasználta a Safari böngésző egy zero-day hibáját, megnyerve ezzel a 15000$-os díjat.

Chaouki Bekrar, a VUPEN társalapítója, a támadott MacBookot egy erre a célra elkészített weboldalra csalta és sikeresen elindított egy számológépet a kompromittálódott számítógépen.

De a Microsoft Internet Explorer 8-a sem úszta meg, a Metasploit ír kutatója, Stephen Fewer három különböző sérülékenységet kihasználva sikeresen feltörte a Windows 7 (SP1) 64-bit-es verzióját. A Windows exploitokra specializálódott szakember két zero-day Internet Explorer bugot kapcsolt össze egy harmadik sérülékenységgel.

http://www.zdnet.com/blog/security/pwn2own-2011-ie8-on-windows-7-hijacked-with-3-vulnerabilities/8367
http://www.zdnet.com/blog/security/safarimacbook-first-to-fall-at-pwn2own-2011/8358
http://www.zdnet.com/blog/security/pwn2own-2011-on-cue-apple-drops-massive-safari-ios-patches/8348