Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Pwn2Own 2014

2014.03.14. 09:11 | buherator | Szólj hozzá!

A Pwn2Own idén is folytatta útját a felívelő pályán. A HP/ZDI és a Google által közösen rendezett megmérettetésen összesen 850.000 dollár jutalmat osztottak ki, és szép summát utaltak jótékony célra is. 

Pwn4Fun

De persze a sérülékenység-piacon már jól megszokott viták sem maradtak el. Idén a Twitter flame fő gerjesztője a rendezők által a rendes esemény elé szervezett, Pwn4Fun névre keresztelt akció volt. Ennek keretében a szervezők munkatársai (akik a Pwn2Ownon nem vehetnek részt) játszhattak a rendes verseny szabályai szerint, a meghírdetett nyeremények feléért, melyet automatikusan a kanadai Vöröskeresztnek utaltak. 

Sokan ezt a lépést egyszerű marketingfogásnak látják, melynek érdekében a koordinált nyilvánosságrahozatalt támogató szervezők saját elveiket/szabályaikat rúgják fel és a bugok visszatartásával a felhasználókat is veszélyeztetik. 

A Vöröskereszt minden esetre jól járt: a résztvevők a Safari és az IE leütésével 85.000 dollárhoz segítették hozzá a segélyszervezetet.

Pwn2Own

A nyílt versenyen szokásosan tarolt a VUPEN, a franciák 11 exploitot értékesítettek összesen 400.000 dollár értékben, kijászva a Chrome, az Internet Explorer, a Firefox, az Adobe Reader és az Adobe Flash védelmét is. A böngészők közül egyébként a Firefox volt a legnépszerűbb célpont, a program felett GeoHot, Jüri Aedla és Mariusz Mlynski is sikerrel vette át az uralmat. A Safarira idén csak a kínai Keen Team és team509 mozdultak, szintén sikerrel - ők nyereményük egy részét malajziai jótékonysági szervezeteknek ajánlották fel. A legkeményebb célpontoknak számító Internet Explorert és Chrome-ot a VUPEN mellett a Sebastian Apelt - Andreas Schmidt páros illetve egy névtelen kutató is sikeresen pwnolta.

A kijelölt célpontok közül meglepő módon egyedül a Java maradt talpon, egy click-to-play átugrását igénylő exploit demonstrálásától a VUPEN végül visszalépett. A teljes eredménytábla itt tekinthető meg.

Az Unikornis díjat (EMET+böngésző snadbox kitörés, majd SYSTEM szintű kódfuttatás) végül nem vitték el, de ez szvsz. nem a feladat teljesíthetetlenségét, inkább annak életszerűtlenségét jelzi.

Az eredmények jól mutatják, hogy még a legmodernebb exploit mitigációs technikák sem elégségesek egy kellően felkészült támadó megállításához, és hogy a komplex renderelő motorok még mindig gazdag tárházát nyújtják a kihasználható sérülékenységeknek. A javítások (és remélhetőleg a writeupok is) remélhetőleg már utón vannak.

 

Címkék: google hp pwn2own zdi vupen

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

Nincsenek hozzászólások.