-> ->

Pwn2Own 2011 и почему Google Chrome так и не был тронут исследователями по безопасности

Конкурсанты, участвующие в Pwn2Own 2011, конкурсе по взлому на конференции CanSecWest на этой неделе в Ванкувере, Канада, смогли успешно использовать найденные уязвимость в Safari 5.0.3 и Internet Explorer 8, последних, наиболее защищенных стабильных версиях от Apple и Microsoft.

При этом никто не решился попробовать взломать браузер Chrome Google, даже с учётом того, что поисковый гигант предложил 20000 долларов США за взлом (что на 5000 долларов США выше чем в остальных случаях, касающихся браузеров).

Technology Live взяли интервью у HD Moore, главного сотрудника по вопросам безопасности, нахождению уязвимостей и тестированию на проникновение фирмы Rapid7, о конкурсе. Он основал проект Metasploit летом 2003 года для размещения информации о уязвимостях "нулевого дня" в популярном программном обеспечении.

TL: Так какой смысл этого конкурса?

Moore: На конкурсе Pwn2Own становится ясно, что при наличии достаточного времени и стимулов, большая часть программного обеспечения, которое мы используем на ежедневной основе, могут быть скомпрометированы. Это ежегодный вспрыск реальности от того, что производители делают и кто из них действительно что-то улучшает. Если Mac OS X удалось взломать через одну уязвимость Safari и безопасность операционной системы оказалась низкой. То в случае с Microsoft видны реальные результаты, так как пришлось эксплуатировать более одной уязвимости, необходимых для полного захвата целевой системе.

TL: Никто не пытался взломать Chrome? Как же так?

Moore: Chrome, пожалуй, самая трудная мишень из-за обширной песочницы. Даже если получится обнаружить дефект и можно будет надежно эксплуатировать найденную уязвимость, выйти из режима песочницы гораздо труднее, чем уклонение от защищенного режима, используемого в Internet Explorer. Многие просто не будут учавствовать в Pwn2Own, если они не уверены, что смогут взломать систему. Если награда за взлом Google Chrome была повышена до 50000 долларов США, то результаты могли быть другими.

TL: Так были ли какие-либо полезные уроки?

Moore: удачный взлом IE8 исследователем Stephen Fewer является прекрасным примером когда локальная уязвимость становятся более важной каждый день. Разработчик может попробовать, как он может понизить доступ и иным образом ограничить выполнение в среде браузера, но, учитывая использование уязвимости в операционной системы, эти усилия будут неэффективными.

Поставить рейтинг:(Рейтинг: 2.64, оценок: 243)
 
Поделитесь новостью:

New! Полная статистика популярности браузеров по Рунету и миру. Системы сбора статистики LiveInternet, OpenStat, StatCounter в одном месте. Данные по всем популярным браузерам, таким как Google Chrome, Mozilla Firefox, Яндекс.Браузер, Opera, Microsoft Internet Explorer, а также альтернативным браузерам.

Возможно, Вам будут интересны новости:
События в тоже время:

Комментарии

Комментариев пока нет

Чтобы оставить комментарий - зарегистрируйтесь или авторизуйтесь через любимый сервис (ВКонтакте, Одноклассники, Twitter и др.) с помощью OpenID.