В этом году конкурс Pwn2Own на хакерской конференции CanSecWest 2016 принёс традиционно неутешительный результат для операционных систем и браузеров. Участникам удалось успешно запустить эксплоиты для найденных уязвимостей в последних версиях Windows и OS X, в Adobe Flash, а также во всех трёх браузерах — Chrome, Edge и Safari. В общей сложности хакеры получили вознаграждений на сумму $460 000.
Firefox не приняли для участия в этом году, потому что в нём «не сделано серьёзных улучшений безопасности по сравнению с прошлым годом», пояснил Брайан Горенц (Brian Gorenc), менеджер подразделения Vulnerability Research в компании HPE, спонсора мероприятия, наряду с компанией TrendMicro.
Из всех браузеров меньше всех пострадал Google Chrome: его пытались взломать две команды, а успеха добилась только одна, да и ей не присудили максимальный выигрыш, потому что использованная уязвимость уже была известна разработчикам Google, то есть это не 0day.
Microsoft Edge вскрыли дважды, а Apple Safari — трижды.
По правилам конкурса, участники обязаны были разгласить найденные 0day-уязвимости организаторам и разработчикам. В OS X хакеры нашли 6 новых 0day-уязвимостей. В этой операционной системе традиционно находят больше всего багов.
В Windows со всеми патчами и активной защитой Enhanced Mitigation Experience Toolkit (EMET) показано 5 новых уязвимостей нулевого дня. В Adobe Flash — 4.
Интересно, что в этом году участники конкурса в каждом случае получили системный или рутовый доступ, в прошлые годы такого не было.
Организаторы опубликовали два видео, для каждого из дней соревнования, с подведением итогов и кратким описанием эксплоитов.
День 1
День 2
Все уязвимости будут закрыты в ближайших обновлениях безопасности Windows, OS X, Chrome, Edge и Safari.
Комментарии (16)
roller
21.03.2016 14:00-2>> В OS X хакеры нашли 6 новых 0day-уязвимостей. В этой операционной системе традиционно находят больше всего багов.
Как то желтенько, в этой ОС традиционно вообще никто не искал баги, ибо малый процент и unix.
nikitastaf1996
22.03.2016 11:04Не понял логику Firefox.Какая разница сделали они улучшения или нет.Все равно что нибудь нашли бы.
Plone
В очередной раз доказывает, что «хакнуть» можно ЛЮБОЙ (каждый) компьютер, если будет необходимость.
Т.е. понятие «безопасность» в отношении телефонов и компьютеров — фикция.
demimurych
Взлом это не только техническая возможность дискредитировать систему, но и стоимость этой возможности.
Безопасность любой системы — это весы, где на одной чаше «информация» которую хотят получить и ее стоимость, на другой стоимость атаки.
Чем меньше 0day уязвимостей — тем они дороже. Как следствие, системы где ценность информации ниже стоимости взлома можно считать в безопасности.
Иначе говоря, никто 0day не будет использовать на телефоне или системе Васи Пупкина, только потому что оно не стоит того.
Потому, сентенция — «безопасность» — фикция, на мой взгляд, необоснованна.
Plone
Согласен. Поэтому и оговариваюсь про необходимость.
Кстати, мне кажется, что примерно так же дела обстоят с приватностью и «слежкой АНБ» (и прочих служб). Граждане, конечно, негодуют по поводу слежки, но вот как-то не понимают, что никто за ними следить просто так не станет. Это никому не нужно, да и ресурсов не хватит.
Как в анекдоте про Неуловимого Джо.
DnV
Безопасность — слишком широкое понятие для подобных обобщений. Так можно сказать, что и сейфы и замки — фикция, т.к. распиливаются за час. Нужно правильно понимать задачи каждого уровня защиты.
Garbus
Ну в теории то можно написать код ОС так, что взломать его будет невозможно. А вот практика, увы включает слишком много звений и объемов разработки, для того чтоб это можно было сделать с приемлемыми затратами.
Но с сейфом то ситуация другая, там в игру вступают уже законы физики. А неразрушимых материалов для изготовления сейфа пока не придумано. :)
eL_FaRMaZoN
Это в какой-такой теории возможно написать код без ошибок (уязвимостей)?