На соревновании Pwn2Own 2017 продемонстрированы взломы браузеров и систем - Новости и Обзоры
интернет-защита
все антивирусы в одном приложении

На соревновании Pwn2Own 2017 продемонстрированы взломы браузеров и систем

Успешно были атакованы браузеры Firefox, Safari и Microsoft Edge, а также в Ubuntu, Windows, macOS, Adobe Reader, Adobe Flash и VMWare Workstation. Остались невзломанными Chrome и Apache httpd
От opennet.ru 2017-03-18 00:43 | комментарии

Завершился третий день соревнования Pwn2Own 2017, ежегодно проводимого в рамках конференции CanSecWest в Ванкувере. На соревновании были продемонстрированы рабочие техники эксплуатации ранее неизвестных уязвимостей, которые привели к успешному выполнению кода атакующего в системе. За три дня соревнований в качестве премий было выплачено 733 тысячи долларов за демонстрацию 17 атак. Успешно были атакованы браузеры Firefox, Safari и Microsoft Edge, а также в Ubuntu, Windows, macOS, Adobe Reader, Adobe Flash и VMWare Workstation. Остались невзломанными Chrome и Apache httpd.

В первый день соревнования были проведены по два взлома Adobe Reader и Apple Safari, по одному разу взломали Microsoft Edge и Ubuntu Desktop. В Ubuntu 16.10 была продемонстрирована локальная 0-day уязвимость в ядре Linux, позволившая локальному пользователю поднять свои привилегии в системе. Предложенная для взлома серверная конфигурация Ubuntu с Apache httpd осталась невостребованной, так как ни одна из участвующих в конкурсе команд не подала заявок на проведение атаки (необходимые уязвимости не были найдены), несмотря на существенный размер премии в 200 тысяч долларов. Что касается Google Chrome, то одна из групп попыталась продемонстрировать атаку, но она оказалась неуспешной.

Во второй день были успешно совершены две атаки на Adobe Flash, две атаки на Microsoft Edge, одна атака на Windows (локальное повышение привилегий) и две атаки на Apple macOS. На Safari было успешно совершено две атаки, причём одна из них завершилась получением root доступа в macOS и была проведена с привлечением 6 ранее неизвестных уязвимостей. Firefox пытались взломать два раза, одна попытка не увенчалась успехом (не хватило времени), но вторая завершилась удачно (для выполнения кода в системе было эксплуатировано целочисленное переполнение в Firefox и уязвимость в ядре Windows).

В третий день два раза был успешно атакован Microsoft Edge, а также продемонстрирован взлом VMWare Workstation, который привёл к выполнению кода за пределами виртуальной машины.

Атаки на браузеры были совершены при обработке специально оформленной web-страницы (или открытие документа в Adobe Reader). Демонстрация признавалась успешной, если открытие страницы завершилось получением полного контроля над системой. При проведении атак использовались самые свежие стабильные выпуски браузеров и операционных систем со всеми доступными обновлениями в конфигурации по умолчанию. В соответствии с условиями конкурса, детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только после выпуска производителями обновлений с устранением продемонстрированных уязвимостей.

Приз за взлом гипервизора составляет 100 тысяч долларов, Microsoft Edge или Google Chrome - 80 тысяч долларов, Apple Safari, Adobe Reader, Microsoft Word, Excel или PowerPoint - 50 тысяч долларов, Firefox - 30 тысяч долларов, локальное повышение привилегий через ядра Windows, macOS и Ubuntu - 30, 20 и 15 тысяч долларов.

Сообщество Вконткте
обзоры антивирусов и программ безопасности
Комментарии и отзывы
Добавляя комментарий, ознакомьтесь с Правилами сообщества
Система Orphus