AfterDawn logo

Safari ja IE8 murtuivat Pwn2Own-kilpailun ensimmäisenä päivänä

Kaarlo Räihä Kaarlo Räihä
6 kommenttia

CanSecWest-tietoturvatapahtumassa järjestettävä tietoturva-aukkoihin liittyvä Pwn2Own-kisa käynnistyi eilen, ja ensimmäisenä kilpailupäivänä kisaajat tekivät selvää jälkeä sekä Safari että Internet Explorer 8 -selaimista.

Apple julkaisi eilen päivityspaketin Safari-selaimelle, mutta se ei ehtinyt mukaan kilpailuun, joten kilpailun voittoon riitti Safarin 5.0.3-versiota vastaan toimiva hyökkäys. Sitä esitteli Ranskassa kotipaikkaansa pitävä VUPEN-tietoturvayhtiö, jonka ilkeästi muotoiltu web-sivu käynnisti selaimessa olevien tietoturvaongelmien avulla Mac OS X 10.6.6:n laskimen ja kirjoitti tiedoston kiintolevylle.

VUPEN-yrityksen edustajan mukaan Safarissa olevan tietoturva-aukon hyödyntäminen ei ollut helppoa, sillä 64-bittiselle Safarille on julkaistu tähän saakka hyvin vähän toimivia hyökkäystyökaluja, joten yrityksen piti samalla kehittää niitä. Kolmen työntekijän kahdessa viikossa tekemä projekti oli kuitenkin taloudellisesti kannattava, koska VUPEN sai palkinnoksi 15 000 dollaria ja MacBook Air -tietokoneen.


Myös Internet Explorer 8:n kohdalla tietoturvan parantuminen on auttanut tilannetta, ja tietoturvatutkija Stephen Fewerin piti hyödyntää kolmea eri haavoittuvuutta, jotta hän sai koneen haltuunsa. Fewerin hyökkäys ohitti selaimen omien tietoturvatoimintojen lisäksi uudempien Windowsien tarjoamat DEP- (data execution prevention) ja ASLR-tekniikat (address space layout randomization). Fewer kehitti hyökkäystään noin kuuden viikon ajan, ja palkinnoksi hän sai 15 000 dollaria sekä Windows-kannettavan.

Molempien hyökkäysten tarkemmat tiedot julkaistaan vasta siinä vaiheessa, kun selainvalmistajat ovat korjanneet kyseiset ongelmat.

Chromen kohdalla nähtiin ensimmäisen päivän osalta vain hiljaisuutta, koska kukaan ei yrittänyt murtaa selainta.

Toisena kisapäivänä vuorossa ovat Mozillan Firefox-selain sekä matkapuhelimet.

6 KOMMENTTIA

bfr1/6

Ei taaskaan yllätyksiä tällä saralla.

snaketus2/6

Juu ei yllätyksiä.

herkkokerkko (vahvistamaton)3/6

Taloudellisesti kannattavaa? Tuntihinnaksi (40h työviikolla) muutettuna tekee 45 e/h, joka ei kyllä ole kovin kummoinen laskutus konsulttifirmalta. Käytännössä taloudellisesti näkökulmasta tekivät siis todennäköisesti ihan kohtuullisesti tappiota.

Tietenkin markkinointi ja tuotekehittelynäkökulmasta tuo saattoi olla firmalle ihan hyvä veto, mutta ei se nyt tuolla suoralla tuotolla mitattuna tosiaankaan ollut taloudellisesti kannattavaa.

dorbeetle4/6

Molempien selaimien murtamiseen meni 6 miestyöviikkoa, joten näiden selaimien murtaminen on erittäin vaikeata.

IE8-selaimen murtamiseen piti löytää 2 erillistä nollapäiväaukkoa, sekä lisäksi kolmas aukko (jolla pääsi läpi IE-selaimen suojatun tilan hiekkalaatikosta).

Huomenna nähdään murretaanko Firefox-selain.

perhana5/6

Hieman harhaanjohtavan kuvan kyllä saa näistä Pwn2Own "kilpailun" uutisista, asiaan tarkemmin tutustunut lukija saa jotenkin sen kuvan että kilpailun alkaessa kilpailijat istuvat pöydän ääreen ja kaikka samaan aikaan alkavat hakkeroida selaimia, yksi chromea, toinen IE:tä, kolmas Safaria, neljäs kilpailija FireFoxia jne, ja sitten hävinnyt selain on se joka ensimmäisenä murretaan...
Tosiasiahan kuitenkin on aivan toinen, eli todellisuudessa ensimmäisenä jälleen käytiin suosituimpien, eli IE:n ja Safarin, kimppuun, mutta muita selaimia ei ole kukaan kilpailun osallistujista edes yrittänyt murtaa vielä... eli melkoinen yllätys että IE ja Safari murtui ensimmäisinä.
Viime vuonna suurilla otsikoilla uutisoitiin kuinka Chrome pysyi murtamattomana koko kilpailun ajan, ja ainoastaan pienellä sivulauseella mainittiin että eihän sitä toki kukaan kilpailija edes yrittänyt murtaa, google kun maksaa paremman palkkion jos tietoturva-aukon kertoo heille kaikessa hiljaisuudessa ennen kilpailua ;-)

bfr6/6

Lainaus, alkuperäisen viestin kirjoitti perhana:

Hieman harhaanjohtavan kuvan kyllä saa näistä Pwn2Own "kilpailun" uutisista, asiaan tarkemmin tutustunut lukija saa jotenkin sen kuvan että kilpailun alkaessa kilpailijat istuvat pöydän ääreen ja kaikka samaan aikaan alkavat hakkeroida selaimia, yksi chromea, toinen IE:tä, kolmas Safaria, neljäs kilpailija FireFoxia jne, ja sitten hävinnyt selain on se joka ensimmäisenä murretaan...
Tosiasiahan kuitenkin on aivan toinen, eli todellisuudessa ensimmäisenä jälleen käytiin suosituimpien, eli IE:n ja Safarin, kimppuun, mutta muita selaimia ei ole kukaan kilpailun osallistujista edes yrittänyt murtaa vielä... eli melkoinen yllätys että IE ja Safari murtui ensimmäisinä.
Viime vuonna suurilla otsikoilla uutisoitiin kuinka Chrome pysyi murtamattomana koko kilpailun ajan, ja ainoastaan pienellä sivulauseella mainittiin että eihän sitä toki kukaan kilpailija edes yrittänyt murtaa, google kun maksaa paremman palkkion jos tietoturva-aukon kertoo heille kaikessa hiljaisuudessa ennen kilpailua ;-)

Se että kukaan ei yritä murtaa selainta, tarkoittaa ettei kukaan ole onnistunut sitä murtamaan. Kuten sanoit, ei tuonne kukaan lähde enää "yrittämään", vaan esittelemään löytämänsä aukot.

Chromen vahvuus muodostuu siitä että google maksaa aukoista sekä siitä että selaimesta saa jopa nightly buildit. Näin ollen aukot pääsevät harvoin stableihin asti, joita taas tällaisissa kilpailuissa testataan.

TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT

Seuraa! Kirjekuoren symboli
Uutiskirje
Threadsin logo
Threads
Blueskyn logo
Bluesky
Mastodonin logo
Mastodon
Sulje palkki