Kaarlo Räihä
25. maaliskuuta, 2010 12:23
CanSecWest-tietoturvatapahtumassa järjestettävä Pwn2Own-kisa tarjosi heti ensimmäisenä päivänä suru-uutisia selainkehittäjille, kun sekä Safari-, Firefox- että Internet Explorer -selaimet murrettiin.
Kisan sääntöjen mukaisesti hyökkäyskoodia ei saa julkaista, joten hyväksikäytetyistä tietoturva-aukoista ei ole toistaiseksi tarkempaa tietoa. Tapahtuman järjestäjät kertovat löydetyistä aukoista suoraan selaimien kehittäjille, jotka voivat sitten korjata selaimien mahdolliset ongelmat. Kun tietoturva-aukko on korjattu, antavat kisan järjestäjät siitä sitten tarkempaa tietoa.
Safarin kohdalla tietoturvan mursi Charlie Miller, joka on tehnyt saman tempun kahtena edellisenä vuotena. Firefoxin suojaukset ohitti puolestaan Nils-nimen taakse piiloutuva saksalainen hakkeri, joka ohitti samassa rytäkässä myös Windows-käyttöjärjestelmien ALSR- (Address Space Layout Randomization) ja DEP-suojaukset (Data Execution Prevention), joiden pitäisi hankaloittaa puskuriylivuotojen väärinkäyttöä. Nilsin mukaan Firefoxin kehittäjät voisivat parantaa ALSR-suojauksen käyttöä selaimessaan.
DEP-suojauksen ohitti myös Peter Vreugdenhil, jonka kohteena oli Internet Explorer 8 -selain. Kaikki kolme saavat vaivannäöstään palkinnoksi 10 000 dollaria.
Kisassa mukana olevista selaimista Googlen Chrome oli ainoa, jota ei murrettu ensimmäisen päivän aikana.