Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

A Native Client eredményei

2009.07.08. 14:31 | buherator | 1 komment

Több mint 600 biztonsági szakértő jelentkezett a Google új, kísérleti platformjának, a Native Clientnek tesztelésére kiírt versenyre. A korszakalkotónak szánt szoftver nem kevesebbre vállalkozott, mint hogy lehetővé tegye natív kódok futtatását a böngészőn keresztül, ráadásul mindezt biztonságosan, ez pedig nyilvánvalóan igen kemény kihívást jelenthetett a feljesztők számára.

A kihívás ennek megfelelően természetesen nem zárult eredménytelenül: az öt díjazott csapat közül is legjobbnak kikiáltott, az IBM X-Force különítményéből delegált Mark Dowd és egy független társa, Ben Hawkes által alkotott "Beachead As" pléldául összesen 12 érvényes sebezhetőséget fedezett fel, többet ezek közül a platform validátor magjában, amely a processzornak átadandó utasítások előzetes felülvizsgáltáért felel.

És bár a többi versenyző is szép számmal tudott felmutatni furfangosabbnál furfangosabb megoldásokat a NC védelmi mechanizmusainak kijátszására, mind a fejlesztők, mind a versenyzők egyetértenek abban, hogy az új platform struktúrája igen jól megtervezett, így az általa felállított korlátozások mekerülése valódi kihívást jelent még a tapasztalt szakembereknek is.

Mindez véleményem szerint azért jó hír, mert a Native Client fejlesztése során felhalmozott tapasztalat (és természetesen a hozzá kapcsolódó sebezhetőség-felderítés) akkor is sokat segíthet védelmi rendszereink fejlesztésében, ha végül éppenséggel nem lesz akkora durranás az új technológia, mint amekkorának azt remélik.

Címkék: google kihívás native client

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

lacyc3 · http://www.lacyc3.eu 2009.07.09. 00:42:30

Az eddigi legnagyobb baromság amit a Google csinált..