Pwn2Own 2017 - Hackeři znovu předvedli, že žádný software není bez chyby

Tento týden proběhl již 10. ročník hackerské soutěže Pwn2Own 2017. Od 15. do 17. března se soutěžilo v pěti různých kategoriích o více než jeden milion dolarů. Týmy nejlepších světových odborníků na bezpečnost tak měly možnost demonstrovat útoky na nejznámější software.



Soutěžící z čínské bezpečnostní firmy Qihoo 360 předvedli jako první úspěšný útok - využili "heap overflow" ve způsobu, jakým aplikace Adobe Reader parsovala JPEG200, což je standard pro kompresi obrazu. Hackeři spojili "heap overflow" s "Windows kernel information leak" a demonstrovali tak "Remote code execution" v jádru Windows - odměna byla stanovena na 50 tisíc dolarů (cca 1 250 000 Kč).

Později se představili výzkumníci z Tencent Security, kterým se také podařilo zdolat Adobe Reader s odměnou ve výši 25 tisíc dolarů (cca 630 000 Kč).

Jiná skupina hackerů ze společnosti Tencent, Team Ether, pokořila prohlížeč Microsoft Edge. Chyba kterou využili jim vynesla nejvyšší odměnu vyplacenou první den - 80 tisíc dolarů (cca 2 miliony Kč).

Výsledky prvního dne:

Další čínští hackeři z Chaitin Security Research Lab ve středu zdolali Ubuntu Linux a Safari od Apple. Chyba v Ubuntu byla "heap out-of-bound access" a týmu vynesla 15 tisíc dolarů, pro exploitaci prohlížeče Safari museli spojit 6 různých zranitelností, díky kterým dokázali získat root oprávnění v macOS. To jim vyneslo dalších 35 tisíc dolarů, celkově si tak rozdělí 1 250 000 Kč.

Celkově tak bylo první den vyplaceno 233 tisíc dolarů (necelých 6 milionů Kč). Oproti minulým ročníkům se nikomu nepodařilo zdolat prohlížeč Google Chrome.

Více informací naleznete na oficiálním blogu zde (zerodayinitiative.com).

Další zdroje:

https://www.macrumors.com/2017/03/16/researchers-macos-safari-exploits-pwn2own-2017/

https://threatpost.com/hackers-take-down-reader-safari-edge-ubuntu-linux-at-pwn2own-2017/124362/

http://www.pcworld.com/article/3181289/security/adobe-reader-edge-safari-and-ubuntu-fall-during-first-day-at-pwn2own.html
Pwn2Own 2017 - Hackeři znovu předvedli, že žádný software není bez chyby Pwn2Own 2017 - Hackeři znovu předvedli, že žádný software není bez chyby Reviewed by Kamil Vavra on března 16, 2017 Rating: 5

Žádné komentáře:

Používá technologii služby Blogger.