![[#]](themes/ubertechno/id.png)
![[Добавить метку]](themes/ubertechno/filter.png)
![[Редактировать]](themes/ubertechno/edit.png)
Проведены соревнования по взлому веб браузеров
В первый день работы конференции Pwn2Own, посвященной безопасности в сети, было проведено соревнование по взлому популярных web-браузеров, в рамках которого были успешно взломаны Apple Safari, Mozilla Firefox и Internet Explorer 8. Во всех случаях взлом был произведен через ранее неизвестные уязвимости (zero-day) и позволял получить полный контроль над системой. Браузеры были самых последних версий с наложением всех доступных патчей. Детали взлома браузеров по условиям соревнований будут оставаться в тайне до момента выпуска официальных обновлений.\cut{Подробнее}Как и в прошлом году Google Chrome стал единственным браузером, против которого не проводились даже попытки взлома. Один из участников соревнования объяснил это тем, что архитектура Google Chrome крайне сложна для вторжения: невозможность выполнения кода в куче, защита самой операционной системы (Data Execution Prevention, ASLR и пр.), а также механизм изолированного выполнения, встроенной в браузер.
Safari 4 был взломан Чарли Миллером (Charlie Miller), главным аналитиком компании Independent Security Evaluators, которому понадобилось всего-лишь открыть в web-браузере Safari специально подготовленную страницу. Чарли уже третий год успешно демонстрирует новые уязвимости Safari на конкурсе Pwn2Own.Internet Explorer 8 был взломан датским исследователем Питером Вругденгилом (Peter Vreugdenhil), для взлома использовалась четырехуровневая атака, позволившая обойти механизмы защиты Windows 7 - на деле широко разрекламированные компанией Microsoft технологии DEP (Data Execution Prevention) и ASLR (Address Space Layout Randomization) оказались бессильны и не смогли предотвратить атаку. По заявлению Питера на поиск уязвимости и разработку экплоита у него ушла одна неделя.
Firefox был взломан немецким студентом под ником Nils, при этом выполнению кода в Windows 7 также не помешали активированные системы DEP и ASLR. В прошлом году Nils одержал победу сразу в трех номинациях, взломав IE, Safari и Firefox.Победители соревнования получили по десять тысяч долларов и достаточно недешевые ноутбуки (Apple Macbook Pro 15", HP Envy Beats 15", Sony Vaio 13" и Alienware M11x), на которых проводился взлом.
Взято с http://www.opennet.ru
>>> Подробнее
Id(*) (2010-03-25 18:38:52)
Подтверждено: bugmaker(*) (2010-03-25 18:41:20)
Re: Проведены соревнования по взлому веб браузеров
1) Хотя Темыч и анонсировал тег кат, но у меня он как то глючно работает.
2) Какого рода уязвимости FF они используют для взлома, если выключены все скрипты и другой шлак ?
Разве возможны фишки типа срыва стека или еще какие стандартные способы используя только HTML ?
p.s. Очень оперативное подтверждение ;)
Mozilla/5.0 (X11; U; Linux x86_64; ru; rv:1.9.1.8) Gecko/20100225 Iceweasel/3.5.8 (like Firefox/3.5.8)