Kaarlo Räihä
10. maaliskuuta, 2011 7:56
CanSecWest-tietoturvatapahtumassa järjestettävä tietoturva-aukkoihin liittyvä Pwn2Own-kisa käynnistyi eilen, ja ensimmäisenä kilpailupäivänä kisaajat tekivät selvää jälkeä sekä Safari että Internet Explorer 8 -selaimista.
Apple julkaisi eilen päivityspaketin Safari-selaimelle, mutta se ei ehtinyt mukaan kilpailuun, joten kilpailun voittoon riitti Safarin 5.0.3-versiota vastaan toimiva hyökkäys. Sitä esitteli Ranskassa kotipaikkaansa pitävä VUPEN-tietoturvayhtiö, jonka ilkeästi muotoiltu web-sivu käynnisti selaimessa olevien tietoturvaongelmien avulla Mac OS X 10.6.6:n laskimen ja kirjoitti tiedoston kiintolevylle.
VUPEN-yrityksen edustajan mukaan Safarissa olevan tietoturva-aukon hyödyntäminen ei ollut helppoa, sillä 64-bittiselle Safarille on julkaistu tähän saakka hyvin vähän toimivia hyökkäystyökaluja, joten yrityksen piti samalla kehittää niitä. Kolmen työntekijän kahdessa viikossa tekemä projekti oli kuitenkin taloudellisesti kannattava, koska VUPEN sai palkinnoksi 15 000 dollaria ja MacBook Air -tietokoneen.
Myös Internet Explorer 8:n kohdalla tietoturvan parantuminen on auttanut tilannetta, ja tietoturvatutkija Stephen Fewerin piti hyödyntää kolmea eri haavoittuvuutta, jotta hän sai koneen haltuunsa. Fewerin hyökkäys ohitti selaimen omien tietoturvatoimintojen lisäksi uudempien Windowsien tarjoamat DEP- (data execution prevention) ja ASLR-tekniikat (address space layout randomization). Fewer kehitti hyökkäystään noin kuuden viikon ajan, ja palkinnoksi hän sai 15 000 dollaria sekä Windows-kannettavan.
Molempien hyökkäysten tarkemmat tiedot julkaistaan vasta siinä vaiheessa, kun selainvalmistajat ovat korjanneet kyseiset ongelmat.
Chromen kohdalla nähtiin ensimmäisen päivän osalta vain hiljaisuutta, koska kukaan ei yrittänyt murtaa selainta.
Toisena kisapäivänä vuorossa ovat Mozillan Firefox-selain sekä matkapuhelimet.