Cautare


Adobe Reader, Edge, Safari si Ubuntu au cazut in prima zi la Pwn2Own
20 Martie 2017 Software

Adobe Reader, Edge, Safari si Ubuntu au cazut in prima zi la Pwn2Own

Concursul anual de hacking are un fond de premii de 1 milion de dolari

Vanatorii de bug-uri s-au adunat din nou pentru a-si testa abilitatile impotriva celor mai populare si mai mature programe software in cadrul concursului hacking Pwn2Own. In prima zi, acestia au demonstrat cu succes exploatari impotriva Microsoft Edge, Apple Safari, Adobe Reader si Ubuntu Desktop.

Concursul Pwn2Own se desfasoara in fiecare an in timpul conferintei CanSecWest din Vancouver, British Columbia. Este organizat si sponsorizat de Zero Day Initiative (ZDI), un program de achizitie a exploit-urilor operat de Trend Micro dupa ce a fost achizitionat de la TippingPoint.

Concursul din acest an are un fond de premii de 1 milion de dolari pentru exploit-uri in cinci categorii: masini virtuale (VMware Workstation si Microsoft Hyper-V); web browser si plugin-uri (Microsoft Edge, Google Chrome, Mozilla Firefox, Apple Safari si Flash Player care ruleaza in Edge); escaladarea locala a privilegiilor (Microsoft Windows, macOS si Ubuntu Desktop); aplicatii enteprise (Adobe Reader, Word, Excel si PowerPoint) si server side (Apache Web Server pe Ubuntu Server).

In prima zi a concursului, doua echipe au reusit sa doboare Adobe Reader si au combinat alte defectiuni kernel Windows in atacurile lor pentru a abtine escaladarea privilegiilor la nivel de sistem. Echipa companiei de securitate din China 360 Security a castigat 50.000 dolari pentru lantul sau de exploatare, iar echipa Tencent (China) a obtinut 25.000 dolari. 

Apple Safari a fost exploatat de doua ori, prima oara de catre o echipa compusa din cercetatorii Samuel Groß si Niklas Baumstark, iar mai tarziu in aceeasi zi de catre o echipa a laboratorului de cercetare in domeniul securitatii Chaitin Technology din China. 

Ambele atacuri au combinat diferite vulnerabilitati care au condus la executarea arbitrara a codului ca root pe Apple macOS. Lantul de atac al lui Groß si Baumstark a fost considerat doar un succes partial si a fost recompensat cu 28.000 dolari, comparativ cu suma primita de Chaitin, de 35.000 dolari. 

Echipa de securitate a Tencent a atacat, de asemenea, Microsoft Edge si a folosit un al doilea bug pentru a ocoli sandbox-ul browserului. Edge, impreuna cu Chrome, sunt considerate browserele cel mai greu de atacat, din cauza mecanismelor lor sandbox. 

Tencent a castigat 80.000 dolari pentru exploit-ul sau Edge si a incercat sa atace si Chrome, insa nu a reusit si finalizeze lantul de exploatare in timpul alocat. 

Echipa Chaitin Security Research Lab a demonstrat cu succes o escaladare a privilegiilor kernel pe Ubuntu Desktop, ceea ce i-a adus un premiu de 15.000 dolari. 

Cercetatorilor li se solicita sa isi impartaseasca exploit-urile cu organizatorii, care le aduc apoi la cunostinta furnizorilor software afectati, pentru a fi remediate. Trend Micro foloseste informatiile pentru a crea semnaturi de detectie pentru sistemele sale de prevenire a intruziunilor TippingPoint. 



Info util

Numai 5 producatori de solutii antivirus, inclusiv ESET, au indeplinit criteriile de detectie si dezinfectare solicitate pentru Windows 7.



Newsletter


Adresa mea de email:
Parteneri

Despre noi

Download

Contact

Strada Retezatului nr.5 / Tg.Mures 540 068
tel/fax:0265 265 910 / contact@smartnews.ro

Publicitate