Hakeri probili Gugle Hrome i Mozilu i osvojili pola miliona dolara

Nagradni fond ovogodišnjeg hakerskog takmičenja "Pwn2Own" koje se održava u okviru konferencije "CanSecWest" u Vankuveru, u Kanadi, je skoro u potpunosti potrošen jer su hakeri osvojili ukupno 480000 dolara ubedljivo porazivši proizvođače softvera.

Tokom protekla dva dana, hakovani su Majkrosoft Ekesplorer 10, Gugle Hrome i Mozilla Fajerfoks. Osim "browser"-a, hakeri su savladali i Java-u, "Adobe Flash Player" i "Adobe Reader". Jedini program, učesnik takmičenja, koji nije hakovan je Epl "Safari" na Mak "OS X Mountain Lion".

Osim novčanih nagrada, hakeri će svojim kućama poneti i laptop računare koje su uspeli da hakuju.

„U svetu "Pwn2Own", uspešan napad znači da samo pregledavanjem nepouzdanog web sadržaja možete ubaciti i pokrenuti proizvoljan izvršni kod izvan pretraživača“, kaže Pol Daklin iz "Sophos"-a.

U stvarnom svetu, to znači da možete izvesti drive-by install napad, u kojem zaobilazite sve zaštite, preventivne mere i pop-ap upozorenja pretraživača.“

Istraživači francuske firme "VUPEN Security" su u sredu hakovali Majkrosoft surfejs pro sa Vindouz 8 i to zahvaljujući dvema 0-day ranjivostima u IE 10. "VUPEN"-ovi hakeri su koristili tako "elegantnu" ranjivost u IE 10 da čak nije došlo ni do pucanja pretraživača tokom napada. Oni su pokrenuli proces izvan "sandbox"-a tako da napadnti korisnik, u realnim okolnostima, ne bi čak ni znao da je hakovan.

Ubrzo posle toga, isti istraživači su hakovali i Fajerfoks zahvaljujući "use-after-free" ranjivosti kao i potpuno novoj tehnici kojom su zaobišli ASLR (Address Space Layout Randomization) i DEP (Data Execution Prevention) na Vindouz 7.

Istraživači VUPEN-a su kompromitovali i "Adobe Flash Player" a zajedno sa nezavisnim istraživačem Benom Marfijem, Džošuom Drejkom iz "Accuvant"-a i Džejmsom Foršovom iz "Context Information Security" uspešno su napali i Java-u. Džordž Hok je hakovao "Adobe Reader", dok su istraživači "MWR Labs"-a hakovali Gugl hrome.

Izvor: Kurir