Pwn2Own 2011: IE i Safari pokonane

Tradycji stało się zadość - pierwszą przeglądarką, która "padła" podczas słynnego hakerskiego konkursu Pwn2Own jest Safari firmy Apple. Specjalistom z francuskiej firmy Vupen udało się do niej włamać w kilka sekund, i to mimo tego że Apple dosłownie chwilę wcześniej załatał 62 błędy w programie. Niewiele dłużej hakerom opierał się Internet Explorer Microsoftu.

Warto przypomnieć, że w tym roku do konkursu wprowadzono kilka nowych zasad - jedna z bardziej kontrowersyjnych stanowi że uczestnicy przystępują do łamania zabezpieczeń aplikacji w kolejności ustalonej w drodze losowania i jeśli ktoś zdoła się włamać do danego programu, to inni uczestnicy automatycznie tracą szansę na wypróbowanie swojej metody ataku (tylko pierwsza osoba jest nagradzana). Takie rozwiązanie ostro skrytykował wielokrotny zwycięzca konkursu, Charlie Miller - tłumaczył on, że specjaliści, którzy odkryją nowe luki ale nie będą mieli szansy ich wypróbować w konkursie mogą później wykorzystać je do niecnych celów.

Zarówno w przypadku Safari, jak i IE, skuteczny atak udało się przeprowadzić już pierwszym uczestnikom, którzy przystąpili do łamania zabezpieczeń przeglądarek. Do przeglądarki Apple'a włamali się specjaliści z francuskiej firmy Vupen - za swój wyczyn otrzymali 15 tys. USD nagrody oraz komputer, na którym zainstalowana była przeglądarka (Macbook Air).

Safari "padła" jako pierwsza (hakerom zajęło to... 5 sekund) - wystarczyło wyświetlenie w przeglądarce odpowiednio zmodyfikowanej strony WWW. Krótko później Stephen Fewer zdołał włamać do Internet Explorera 8 (Fewer zdołał obejść nawet zabezpieczenia Trybu Chronionego).

Przypadek przeglądarki Apple'a jest o tyle ciekawy, że firma na dosłownie kilka minut przed rozpoczęciem tegorocznej edycji Pwn2Own zaktualizowała swój program - załatano w nim 62 luki w zabezpieczeniach (w tym wiele krytycznych). Specjaliści z Vupen przyznali, że firma odcięła w ten sposób kilka potencjalnych dróg ataku - ale zaraz dodali, że wszystkich dziur nie załatano i dlatego bez większego problemy udało im się złamać zabezpieczenia Safari.

Wcześniej - na kilka dni przed Pwn2Own - swoje aplikacje zaktualizowali również Google oraz Mozilla (zaś Microsoft zapowiedział, że tego nie zrobi).

Warto przypomnieć, że Safari od lat jest pierwszą ofiarą podczas kolejnych edycji Pwn2Own - do tej pory do przeglądarki Apple najczęściej jako pierwszy włamywał się wspomniany Charlie Miller (zwykle nie zajmowało mu to więcej niż kilka minut).

Dodajmy, że uczestnicy konkursu mogą atakować również Google Chrome, Firefoksa oraz mobilne systemy operacyjny (iOS, Windows Phone 7, Android oraz BlackBerry OS) - ale na razie żaden z nich nie został skutecznie "złamany". Regulamin Pwn2Own stanowi, że jeśli pierwszego dnia nikt nie zdoła się włamać do danej aplikacji czy systemu, to w kolejnych dniach zadanie to jest stopniowo ułatwiane. Pierwszego dnia celem jest "goły" program, bez żadnych dodatków czy wtyczek, zaś później dopuszczalne jest wykorzystania do ataków luk w aplikacjach dodatkowych (np. Adobe Flash, Apple QuickTime czy MS Silverlight).


Zobacz również