Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Mobil Pwn2Own és iOS 7.0.4

2013.11.15. 11:15 | buherator | Szólj hozzá!

A Pwn2Own versenysorozat mobil kiadását idén a tokiói PacSec konferencián rendezték meg, ami végre az ázsiai csapatok számára is testközelbe hozta a megmérettetést, ami természetesen nem is maradt eredmények nélkül:

A japán Team MBSD a Samsung Galaxy S4 telefonra alapértelmezetten telepített alkalmazások sérülékenységeinek láncolatán keresztül sikeresen telepített egy új alkalmazást a készülékre, miután annak "gyanútlan" tulajdonosa rábökött egy linkre - a kritikus probléma tehát nem az Andorid operációs rendszert, hanem a Samsung hozzáadott komponenseit érintette.

A kínai Keen Team két Safari hiányosságot is demózott iOS-en, az egyik probléma kihasználásával a felhasználó Facebook jelszaváttudták ellopni, a másikkal pedig a telefonon tárolt fotókat voltak képesek megszerezni. Érdekesség, hogy egyik problméma sem valamilyen megszokott memóriakorrupciós sérülékenységre vezethető vissza, hanem a böngésző magasabb szintű biztonsági korlátozásainak nem megfelelő megvalósításából adódik. Mivel a csapat a iOS sandbox-át nem törte át, a teljes 40.000 dolláros jutalom helyett 27.500 dodóval kellett megelégedniük, ami persze még mindig szép summa. 

A 100.000 dollárt érő baseband hackek eredményeiről egyelőre nem érkezett hír, de ha megjelenik új eredmény, frissítem a posztot. Friss: végül nem volt baseband exploit a versenyen.

Friss2: Pinkie Pie egy két sérülékenységet kihasználó, sandbox escape-es Chrome exploittal behúzta a Galaxy-ért és a Nexus 4-ért járó 50.000-es díjat.

Az Apple közben kiadta az iOS 7.0.4-et, ami a fenti problémákat nem, de az AppStore-ból megfelelő autorizáció nélküli vásárlást már orvosolja több kevésbé fontos biztonsági és egyéb bugot orvosol. 

Címkék: apple esemény samsung android ios pwn2own pacsec keen team team mbsd

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.