עבור אל תוכן

Pwn2Own 2013: כל הדפדפנים נפלו כבר ביום הראשון



  • אנא התחבר בכדי להגיב
3 תגובות לנושא זה

#1
 Shadow

Shadow
  •  צוות לשעבר
  • 582 הודעות
    • מונה תודות: 109 תודות
89
טוב מאוד
עוד לא עברה יממה מאז נפתחה בקנדה תחרות ההאקרים הידועה Pwn2Own, וכבר ניתן לומר ששום דפדפן לא נותר עומד על רגליו. כן כן, גם אינטרנט אקספלורר 10, גם כרום, גם פיירפוקס – כולם נפלו שדודים לרגלי ההאקרים.
קחו לדוגמא את צ‘אוקי בקראר, מנכ“ל VUPEN, שהדגים כיצד אנשי חברתו פרצו לאקספלורר ולפיירפוקס במהלך התחרות. מדובר בכזו מומחיות, שאנשיו הצליחו למשל לעקוף את כל חומות האבטחה של חלונות 8 ושל אינטרנט אקספלורר, ולהריץ קוד על הדפדפן ברוגע ובשלווה, מבלי להוביל לקריסתו.
משחקים בארגז החול

את המתקפה הם ביצעו בשני שלבים, הראשון היה עקיפת ASLR – פרוטוקול לאבטחת מידע שעושה רנדומיזציה למידע המאוחסן ב-RAM על-מנת למנוע מההאקרים להריץ קוד, ואילו השלב השני היה עקיפת DEP – חומת הגנה המונעת מקוד בלתי מאושר להריץ קוד הפעלה באזורי זיכרון שאינם מיועדים לכך. ברגע שעקפו ההאקרים את שני השלבים האלו, ולמעשה עקפו את מה שידוע בשם ”ארגז החול“, הם יכלו להריץ כל מה שברצונם. במקרה זה הם בחרו לפתוח את אפליקציית המחשבון של חלונות.
העיקרון בפריצה לפיירפוקס הוא דומה, אבל פשוט יותר, כי לדפדפן של מוזילה אין ארגז חול. לטענת בקראר, במהלך הפריצה עשו אנשיו שימוש בבאג במערכת ההפעלה חלונות עצמה, אך הוא סירב לחשוף אותו בטרם ידון בנושא עם אנשי מיקרוסופט.
ומה עם כרום? הפעם היו אלה אנשי מעבדות MWR שביצעו את הפריצה, בכלים דומים לאלו בהם נעשה שימוש על-מנת לפרוץ את אקספלורר ופיירפוקס. להוציא הרצת קוד, אנשי המעבדה הצליחו גם לבצע קריאה של הזיכרון, ולאתר את כתובת הבסיס של כמה קבצי DLL. יש לציין שהפריצה לכרום התבצעה לאחר שאנשי גוגל נערכו היטב לתחרות, והגבירו את האבטחה באמצעות עשרה תיקונים חדשים, המטפלים בשישה באגים חמורים. אגב, לא רק דפדפנים נפרצו במהלך היום הראשון של התחרות, גם חלונות 8 וג‘אווה בין הקורבנות.
עם זאת, הפרסים בהם זכו הפורצים הם עדיין הפרסים הקטנים בתחרות: 100,000 דולרים לפריצת כרום בחלונות 7, כנ“ל בנוגע לאינטרנט אקספלורר על חלונות 8, וסכום נמוך יותר – 75,000 דולרים לפריצת פיירפוקס על חלונות 7.
הפרס הגדול, אותו מציעה גוגל, כלל לא קשור לדפדפנים: הוא ימסר לראשונים שיצליחו לפרוץ את הכרום-בוק החדש, המבוסס על מערכת ההפעלה החדשה של כרום. מדובר בפרס יצירתי במיוחד: 314,159 דולרים. ואם המספר נראה לכם מוכר, רק תזיזו את הפסיק שתי ספרות לשמאל ותבינו למה.

http://www.newsgeek....rowsers-hacked/

קיבל תודות על-ידי 1 משתמש:

#2
 Dr. Strange

Dr. Strange
  •  צוות לשעבר
  • 757 הודעות
    • מונה תודות: 94 תודות
63
טוב
וואי, מגניב.
אהבתי את ה"מספר היצירתי"... ישר הבנתי אותו :)

תודה על הפרסום

#3
 JewishNinja

JewishNinja
  •  צוות לשעבר
  • 979 הודעות
    • מונה תודות: 318 תודות
260
מעולה
תודה על הפרסום , גאונות ללא ספק.

#4
 THEX

THEX

    משתמש חסום

  •  חסומים
  • 1060 הודעות
    • מונה תודות: 222 תודות
186
מעולה
פשש יפה, תודה רבה על הפרסום :)





תויגו גם עם אחת או יותר ממילות המפתח הללו: פרסום

0 משתמשים קוראים נושא זה

0 משתמשים, 0 אורחים, 0 משתמשים אנונימיים