A magyar médiában is rengeteg helyen lehetett olvasni a CanSecWest konferencián rendszeresen megrendezett Pwn2Own verseny részleteiről. Én most szeretnék egy átfogó bemutatást adni a versenyről, tisztázva néhány pontatlanul vagy félreérthetően megjelent részletet.

Először is, a verseny két napos volt. Az első napon a Safari 5.0.4, az Internet Explorer 8 és a Google Chrome volt terítéken, a Safari kivételével 64-bites Windows 7-re telepítve (a Safari értelem szerűen a legújabb OS X Snow Leopardon futott). A második napon a Mozilla Firefox 3.6.0 (szintén Win7), a mobil eszközök közül pedig egy iPhone, egy Dell Venue Pro, egy Blackberry Torch 9800, és egy androidos Nexus S állt rajthoz. A szabályok értelmében a desktop böngészőkön kódfuttatást kell elérni a bejelentkezett felhasználó nevében, a mobil eszközök esetén a címlistához történő hozzáférés a cél. 

Fontos még, hogy a szoftvereket futtató eszközöket már akkor megnyerik a bugvadászok, ha a verseny előtt egy héttel aktuális szoftververzióra mutatnak be működő exploitot, de a 15.000$-os pénzjutalmat csak a legfrissebb verziók megtöréséért lehet hazavinni - a Chrome-ot például 2 nappal a verseny előtt frissítették.

A böngészők közül a Safarit ismét hamar kicsinálták, ugyan az 5.0.4-es verzióban javításra került néhány hiba azok közül, amit a VUPEN szakértői kihasználni szándékoztak, még maradt elég a gyűjteményben. A védett módban futó Internet Explorert Stephen Fewer-nek sikerült lezúznia, három különböző hiba kihazsnálásával átlépve a DEP, az ASLR és az integritási szintek védelmi vonalain.

A Microsoft közlése szerint legalább az egyik a három hiba közül nem működik a holnapután megjelenő IE9-en. 

A Firefox-szal és a Chrome-al - bár voltak regisztrált versenyzők - senki nem próbálkozott. Ebben utóbbi böngésző kapcsán közrejátszhatott a már említett frissítés, de nem elhanyagolható szempont az sem, hogy a Google a rendes díjon kívül felajánlott még 20.000$-t a legügyesebb hackernek. Nem tudom eldönteni, hogy csak marketingszöveg-e a VUPEN-től, hogy mégegyszer ennyi pénzért jövőre talán hajlandóak lesznek kiállni a verhetetlennek tűnő böngészővel szemben.

A mobil eszközök teszteléséhez használt RF kalitka

A második napon a mobil eszközöknél Charlie Miller - idén Dion Blazakis-szal együtt dolgozva - tovább vitte nyerő szériáját, ezúttal az iPhone címlistájának kiürítésével. Az exploitban ROP-pal kerülte meg a DEP-et, ez a módszer azonban nem működik a már megjelent, ASLR-t is bevezető iOS 4.3-on. A Blackberry-vel kapcsolatban nem a szoftveres hardening, hanem a dokumentáció és a fejlesztőeszközök hiánya nehezítette meg az indulni vágyók dolgát, Willem Pinckaers és Ralf Philipp Weinmann azonban még így is sikeresen össze tudott kombinálni több WebKit-et érnitő hibát, melyeken keresztül hozzáfértek a készülék címtárához, és fájlrendszeréhez is. A böngészőmotor sebezhetőségeit a Google Chrome-ban azóta már javították.

A másik két készülék megtörésére jelentkezők végül nem jelentek meg, Jon Oberheide-nak valószínűleg az vette el a kedvét a játéktól, hogy idő előtt eljátszotta a nyertes hibát.