-> ->

Pwn2Own: все браузеры потерпели поражение, выживших нет

Вот уже какой год на конференции CanSecWest в Ванкувере проходит конкурс Pwn2Own. На данном конкурсе могут выступать различные компании по безопасности (а также и отдельные исследователи по безопасности).

Ещё в 2011 году к Pwn2Own готовились все разработчики браузеров, например, компания Apple постаралась выпустить обновление браузера Safari перед конкурсом, в Google тоже пошли по данному пути, выпустив обновление новой версии Google Chrome 10. Вобщем, тогда никто не решался пойти против Google Chrome, защита была хороша (хотя ходит мнение, что дело даже не в защите, не было стимула для взлома). Так или иначе, пострадали все браузеры кроме Chrome (и Firefox).

А вот в 2012 году интерес к Chrome резко возрос, тогда команда из компании VUPEN справилась с дефейсом браузера Chrome, затем Chrome ещё раз постарад. Также интересно рассказать о цепочке из 6 атак, которые привели к взлому браузера Chrome.

И наконец, 2013 год, место - Ванкувер, событие - Pwn2Own, браузеры для тестирования - Google Chrome 25, Mozilla Firefox 19 и Microsoft Internet Explorer 10.

Сперва стоит отметить вновь команду VUPEN, которая продемонстрировала обход систем безопасности браузеров Firefox и Internet Explorer 10. Запуск кода был осуществлён на системе Windows 8.

Для эскплуатирования уязвимости требовалось обойти защиту операционной системы - ASLR и DEP, первоначально была пройдена система ASLR, следующим шагом удалось обойти DEP защиту, в конечном итоге был запущен калькулятор, что подтверждает обход систем безопасности.

Дальше в ход вступила команда MWR Labs, которая успешно справилась с песочницей браузера Chrome и используя уязвимости в системе Windows 7, получила привилегированные права и запустила калькулятор. В дополнение, ислледователи смогли считывать данные из памяти и производить поиск по адресам используемых DLL-библиотек.

Поставить рейтинг:(Рейтинг: 2.87, оценок: 149)
 
Поделитесь новостью:

New! Полная статистика популярности браузеров по Рунету и миру. Системы сбора статистики LiveInternet, OpenStat, StatCounter в одном месте. Данные по всем популярным браузерам, таким как Google Chrome, Mozilla Firefox, Яндекс.Браузер, Opera, Microsoft Internet Explorer, а также альтернативным браузерам.

Возможно, Вам будут интересны новости:
События в тоже время:

Комментарии

Комментариев пока нет

Чтобы оставить комментарий - зарегистрируйтесь или авторизуйтесь через любимый сервис (ВКонтакте, Одноклассники, Twitter и др.) с помощью OpenID.