Gyurkity Péter

Csak a Chrome élte túl a hackerversenyt

A TippingPoint által megrendezett versenyen két hacker gyűjtötte be a díjakat, mégpedig az IE8, a Safari, valamint a Firefox friss verzióinak feltörésével. A böngészők közül egyedül a Google Chrome maradt állva.

A Vancouver városában megrendezett CanSecWest alatt került sor a sorrendben harmadik Pwn2Own versenyre, amelyen ezúttal is számos hacker vett részt. A két fő téma a böngészők, valamint a hordozható készülékek szegmense volt, ám utóbbi nem sok érdeklődést váltott ki az indulók körében. A böngészőknél viszont négy új, eddig nem ismert sebezhetőséget is megismertek.

A szabályok ezúttal is eltérő feltételeket írtak elő mindhárom napon. Első körben pusztán az alap szoftvert telepítették a gépekre, mindenféle kiegészítő nélkül, ezen kellett fogást találniuk a versenyzőknek. A második napon az étlap a Flash, a Java, a .Net, valamint a QuickTime szoftverekkel egészült ki, amelyek rögtön nagyobb felületet kínáltak a támadásokhoz, a harmadik körben pedig olyan népszerű, gyakran használt alkalmazásokkal egészült ki a lista, mint például az Acrobat Reader. A terítéken ezúttal négy böngésző, az IE8, a Firefox, a Mac számítógépeken futó Safari, valamint a Google Chrome volt.

Az igazi eredmények már az első napon megszülettek, mégpedig elsőként a Safari esetében, ahol is (a sorsolásnak köszönhetően) Charlie Miller mutathatta be elsőként trükkjeit. Mindössze 2 percébe telt, és a Mac OS X alatt futó Safari megadta magát - a hacker meg is kapta a sebezhetőségért járó 5 ezer dollárt. Ezt követően azonban a Nils néven versenyző kollégája vette át a főszerepet, aki gyors egymásutánban három böngészőt is kivégzett - a Safari, az IE8, valamint a Firefox is gyorsan térdre kényszerült, ezért cserébe pedig 3x5 ezer dollárt vihetett haza.

Mind a szervezők, mind pedig a versenyzők meglepődtek, amikor a Microsoft Security Response Center alig 12 órán belül megerősítette a sebezhetőség létezését, hozzátéve, hogy megkezdték a munkát a javításon. Ez mindenképpen elismerést érdemel, különösen annak tekintetében, hogy a fejlesztőcsapat nagy része a MIX09 rendezvényen volt lekötve, ahol végre hivatalosan is bejelentették a böngészőt. Az első napot egyébként egyedül a Chrome élte túl, amely ugyan szintén érintett volt némileg az egyik fent említett sebezhetőség által, ám itt a versenyzők végül nem jártak sikerrel.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Naridar #67
    Azért a Chrome-mal én még mindig óvatos lennék. Oké, hogy a licenszet már átfogalmazták, de még mindig nem nyugtat meg, mert tulajdonképpen ugyanazt mondja, csak nem fejti ki. Valószínűleg sohasem fogom használni és nem ajánlom senki másnak se.
  • beef #66
    Szerintem nincs igazad az 1%-al.
    Mekkora valójában az Opera részesedése?
  • halgatyó #65
    Értem, de az ördög a napi gyakorlatban van. Az, hogy az internetes fórumok javascriptet használnak, valahol érthető. De minden más megoldható a hagyományos html formátumban is. Menürendszer? Ott a "a href" (nem akartam kisebb-nagyobb jelet használni) Képek betétele a szövegbe? ott az "img src" , akár táblázatba is lehet tenni, akár a táblázat egyes celláinak összevonásával, ha nagy a kép...
    Hangok, mozgóképek szintén lejátszhatók, vagy letölthetők és utána lejátszhatók, a felhasználó által korábban, megbízható (-nak tartott) lejátszóval.

    Azt persze nem lehet megcsinálni, hogy a gép előtt ülő csak lejátszani tudja, de lementeni ne. (Az efféle felhasználó-korlátozások nélkül kevesebbet dühöngenék)

    Hányszor fordult már elő, hogy valamilyen tárgyat vagy szolgáltatást kerestem az interneten! Csempét, plexilapot, bútorlap-szabászatot, hangszigetelő rendszereket a tetőtérbe, és még ezer és ezer dolgot.
    És a megtalálást követően rákattintva a megfelelő weblapra, INFORMÁCIÓ HELYETT egy ordítóan fos átkozott, információ-mentes, reklámjellegű flasplayeres weblap jött elő. Az az idióta aki ezkeet csinálja mit akar reklámozni és kinek? Ha egyszer már rákattintottam a weblapjára, akkor nyilván tőle akarok valamit, akkor mit reklámoz?
    Az ilyen weblapokat bojkottálni szoktam.
    A másik problémám a jávascripttel az elmenthetetlen weblapok szaporodása. Az utóbbi hónapban valami weblapgyártó rendszer terjedhet, mert a Firefox egyre gyakrabban írja ki az oldal mentésekor ("teljes weblap" üzemmódban) hogy
    "\aux.js nem menthető mert ismeretlen hiba történt".
    Kerestem az "oldal forrása" szövegfileban az aux.js -t, NINCS BENNE. Egyik chkdsk után talált 32 filexxxx.chk között azonban találtam kettőt, amiben van hivatkozás erre az aux.js -re.
    Leírom, hogy mindenki számára elérhető legyen: egyik esetben a "http://hudge.adocean.pl/aux.js" volt, a másikban "http://huopdgde.adocean.pl/aux.js"
    Ezekből több dolog látszik:
    1.) Az "adocean" ismerősen cseng
    2.) A "hudge" és társai valószínűleg automatikusan generált mocskok, hogy nehezebb legyen kiszűrni a kéretlenül a pofánka tolakodó és a gépünkbe bele-beleszaró reklámokat
    3.) Az elmenthetetlen weblapokat is a javascriptet a világra kényszerítő arctalan valakiknek köszönhetjük.
  • jamborl #64
    Szerintem mindegyik bongeszonek van hibaja.
    Szemely szerint az Operat letesitem elonyben es a FFot. De volt mar ra szamtalan pelda hogy egyik masik program vagy ezzel vagy azzal nem latszott/indult jol. Persze az a programozok hibaja aki a weblapot irja, de megis az ember a bongeszo rovasara irja:)

    Igaza van az alattam iroknak hogy a felhasznlao inkabb a ludas a rendszer osszeomlasanak mint a bongeszo. Sok ugyfelemnel azert megy tonkre mert minden hulyeseget feltesz a gepre ami el es mozog a vilaghalon es csodalkozik, hogy belassul a gepe egy p2es szintjere.

    De persze tagad mindent, ellenben cookikrol meg a historyrol bezzeg meg nem hallott meg...
    :D
  • snowkid16 #63
    Hehe, én használom a Safarit Windowson, de a hír hallattán jön vissza a Róka :)
    Chrome nekem nem tetszik :S
  • savior #62
    ezek szerint a google hackerei indultak a versenyen
  • pasi29uk #61
    Még saccolni is képtelen vagyok, hogy a hibák kihasználásával, illetve fertőzött weboldalakkal hány milliárdos "fekete" üzletet bonyolítanak le a világhálón naponta... ez az 5k dollár szerintem egy nagy vicc + önfényezés
    Szerintem még mindíg a legjobb egy Unix vagy VMS szerver + usereknek X-terminál felállás mind költséghatékonyság, mind biztosnág szempontjából... oszt törd ha tudod. Szerintem néhány nagymenőnek beletörne a bicskája, ha adatot akarna lopni
  • tntmax #60
    Kivételesen teljesen egyetértek gettoharcos2-al.

    Ez így annyira igaz mint egy freidosszie vagy egy blikkcikk.
  • kvp #59
    "Az egész rohadék jávascriptet be kellene tiltani, szerintem semmit sem veszítenénk vele, maximum a reklámipar meg néhány rohadék akik a gépünkbe a tudtunk nélkül belesz**nak, csak azok veszítenének. Az összes funkciót, amit a kívülről behatoló programokkal valósítanak meg, a hagyományos html is tudja, kiegészítve néhány, a felhasználó által telepített programmal."

    Javascript technologiara epul pl. a gmail, a google maps, a hotmail, a freemail, de meg az index menurendszere is. Aktiv kodot tartalmazo weboldalak nelkul minden egyes kattintas utan ujratoltodne egy-egy oldal. Ez a felhasznalok szamara is eleg idegesito lenne, mivel pl. egy oldal menurendszereben keresgeles sokkal lassabb lenne. A sokak altal utalt flash is alapvetoen javascript motort hasznal, de a bongeszo helyett a flash player futtatja, ami jobban fel van keszitve mulitmedias tartalmak kezelesre es mivel csak egy gyarto kesziti, ezert kevesebb a kompatibilitasi problemaja. A felhasznalo altal telepitett kiegeszito programokat hivjak jelenleg activex komponenseknek es ezeknel tobbnyire semmilyen vedelem nincs, tehat a felrakott komponens a felhasznalo jovahagyasaval, de teljes iranyitassal rendelkezik a gep folott. Tobbek kozott ezert sem nagyon hasznaljak mar oket.

    Idealis esetben a bongeszo nem engedi ki a weboldal kodjat a gepre, tehat az csak az adott oldal adatait eri el, meg a masik bongeszoablakban megnyitott oldalet sem. A versenyen hasznalt exploit-ok tobbnyire a bongeszok biztonsagi hibait hasznaljak ki, de persze ez csak akkor mukodik ha az operacios rendszer nem zarta korbe a bongeszot. Ha igen, akkor meg azt is meg kell kerulni.

    Exploit egyebkent mindenben lehet, pl. az internet explorer eseten jopar plain html es css hiba is volt, tehat mindenfele aktiv kod nelkul csupan egy weboldalra ranezes is bejuttathatta a tamado kodot a celgepre. De ilyen biztonsagi hibak voltak a pif, a bmp es sok mas fileformatumban is. A lenyeg, hogy a gep hibas adatokat kapjon, amiktol amikor megprobalja oket elolvasni hibasan kezd el viselkedni. Ha a hiba hatasara nem csak osszeomlik a szoftver hanem elkezd futtatni valamilyen szabadon megadhato kodot, mar kesz is az exploit.

    Ha hibatlanok lennenek a programok es az operacios rendszerek, akkor persze semmilyen hibas adat sem okozhatna hibas mukodest, de ennek az elvarasnak a teljesulese jelenleg meg nem megoldott.
  • GG #58
    A tölem megszokott modon reagálnék erre: PR fogás. Bővebben: Kapott a hacker(ek) egy rakat pénzt a Nagy GOOGLE testvértől hogy az ő kiskémjük legyen a feltörhetettlen. Kispuha (MS) most meg dühöng. hogy nem neki jutott eszébe ez az ötlet. :P