Włamać się do IE8? Niektórym wystarczą zaledwie 2 minuty

Podczas tegorocznego konkursu hakerskiego Pwn2Own już pierwszego dnia imprezy uczestnicy zdołali pokonać trzy z czterech najpopularniejszych przeglądarek internetowych – Internet Explorera 8, Firefoxa 3.6 oraz Safari. Jedyną aplikacją do przeglądania zawartości internetu, która okazała się oporna wobec starań hakerów, była Google Chrome.

Do przeglądarek działających w systemie Windows 7 włamały się dwie osoby. Peter Vreugdenhil, specjalista pochodzący z Holandii, użył do ataku na Internet Explorera 8 dwa niezależne exploity – omijając zabezpieczenia ASLR, a następnie DEP. „Moja metoda była dwustopniowa – atak dałoby się przeprowadzić w jednym etapie, ale wtedy cały proces potrwałby dłużej, co najmniej 50 minut. Skorzystanie z dwóch exploitów znacznie go skróciło – cała akcja zajęła mi ok. 2 minut. Nie wiedziałem, ile będę miał czasu, a poza tym nie chciałem zanudzać publiczności” – komentował swój wyczyn holender. Obecny na konferencji przedstawiciel firmy Microsoft oficjalnie potwierdził, że w przeglądarce IE8 faktycznie znajduje się nieznana wcześniej luka i  obiecał, iż jak najszybciej podjęte zostaną działania zabezpieczające.

Nils – Niemiec, który nie wyraził zgody na ujawnienie swojego nazwiska – za swój cel obrał natomiast Firefoxa 3.6, skupiając się również na ominięciu tych samych zabezpieczeń – DEP i ASRL.

O swoistej specjalizacji można natomiast mówić w przypadku włamań do przeglądarki Safari – Charlie Miller zdołał jako pierwszy obejść jej zabezpieczenia już trzecią edycję  z rzędu.

Zwycięzcy hakerskich kompetycji wyjechali z kanadyjskiego Vancouver bogatsi nie tylko o cenne doświadczenia, ale również o 10 – 15 tyś. dolarów.

Źródło:  www.networld.pl

Zobacz także: