Gyurkity Péter
Csak a Chrome élte túl a hackerversenyt
A TippingPoint által megrendezett versenyen két hacker gyűjtötte be a díjakat, mégpedig az IE8, a Safari, valamint a Firefox friss verzióinak feltörésével. A böngészők közül egyedül a Google Chrome maradt állva.
A Vancouver városában megrendezett CanSecWest alatt került sor a sorrendben harmadik Pwn2Own versenyre, amelyen ezúttal is számos hacker vett részt. A két fő téma a böngészők, valamint a hordozható készülékek szegmense volt, ám utóbbi nem sok érdeklődést váltott ki az indulók körében. A böngészőknél viszont négy új, eddig nem ismert sebezhetőséget is megismertek.
A szabályok ezúttal is eltérő feltételeket írtak elő mindhárom napon. Első körben pusztán az alap szoftvert telepítették a gépekre, mindenféle kiegészítő nélkül, ezen kellett fogást találniuk a versenyzőknek. A második napon az étlap a Flash, a Java, a .Net, valamint a QuickTime szoftverekkel egészült ki, amelyek rögtön nagyobb felületet kínáltak a támadásokhoz, a harmadik körben pedig olyan népszerű, gyakran használt alkalmazásokkal egészült ki a lista, mint például az Acrobat Reader. A terítéken ezúttal négy böngésző, az IE8, a Firefox, a Mac számítógépeken futó Safari, valamint a Google Chrome volt.
Az igazi eredmények már az első napon megszülettek, mégpedig elsőként a Safari esetében, ahol is (a sorsolásnak köszönhetően) Charlie Miller mutathatta be elsőként trükkjeit. Mindössze 2 percébe telt, és a Mac OS X alatt futó Safari megadta magát - a hacker meg is kapta a sebezhetőségért járó 5 ezer dollárt. Ezt követően azonban a Nils néven versenyző kollégája vette át a főszerepet, aki gyors egymásutánban három böngészőt is kivégzett - a Safari, az IE8, valamint a Firefox is gyorsan térdre kényszerült, ezért cserébe pedig 3x5 ezer dollárt vihetett haza.
Mind a szervezők, mind pedig a versenyzők meglepődtek, amikor a Microsoft Security Response Center alig 12 órán belül megerősítette a sebezhetőség létezését, hozzátéve, hogy megkezdték a munkát a javításon. Ez mindenképpen elismerést érdemel, különösen annak tekintetében, hogy a fejlesztőcsapat nagy része a MIX09 rendezvényen volt lekötve, ahol végre hivatalosan is bejelentették a böngészőt. Az első napot egyébként egyedül a Chrome élte túl, amely ugyan szintén érintett volt némileg az egyik fent említett sebezhetőség által, ám itt a versenyzők végül nem jártak sikerrel.
A Vancouver városában megrendezett CanSecWest alatt került sor a sorrendben harmadik Pwn2Own versenyre, amelyen ezúttal is számos hacker vett részt. A két fő téma a böngészők, valamint a hordozható készülékek szegmense volt, ám utóbbi nem sok érdeklődést váltott ki az indulók körében. A böngészőknél viszont négy új, eddig nem ismert sebezhetőséget is megismertek.
A szabályok ezúttal is eltérő feltételeket írtak elő mindhárom napon. Első körben pusztán az alap szoftvert telepítették a gépekre, mindenféle kiegészítő nélkül, ezen kellett fogást találniuk a versenyzőknek. A második napon az étlap a Flash, a Java, a .Net, valamint a QuickTime szoftverekkel egészült ki, amelyek rögtön nagyobb felületet kínáltak a támadásokhoz, a harmadik körben pedig olyan népszerű, gyakran használt alkalmazásokkal egészült ki a lista, mint például az Acrobat Reader. A terítéken ezúttal négy böngésző, az IE8, a Firefox, a Mac számítógépeken futó Safari, valamint a Google Chrome volt.
Az igazi eredmények már az első napon megszülettek, mégpedig elsőként a Safari esetében, ahol is (a sorsolásnak köszönhetően) Charlie Miller mutathatta be elsőként trükkjeit. Mindössze 2 percébe telt, és a Mac OS X alatt futó Safari megadta magát - a hacker meg is kapta a sebezhetőségért járó 5 ezer dollárt. Ezt követően azonban a Nils néven versenyző kollégája vette át a főszerepet, aki gyors egymásutánban három böngészőt is kivégzett - a Safari, az IE8, valamint a Firefox is gyorsan térdre kényszerült, ezért cserébe pedig 3x5 ezer dollárt vihetett haza.
Mind a szervezők, mind pedig a versenyzők meglepődtek, amikor a Microsoft Security Response Center alig 12 órán belül megerősítette a sebezhetőség létezését, hozzátéve, hogy megkezdték a munkát a javításon. Ez mindenképpen elismerést érdemel, különösen annak tekintetében, hogy a fejlesztőcsapat nagy része a MIX09 rendezvényen volt lekötve, ahol végre hivatalosan is bejelentették a böngészőt. Az első napot egyébként egyedül a Chrome élte túl, amely ugyan szintén érintett volt némileg az egyik fent említett sebezhetőség által, ám itt a versenyzők végül nem jártak sikerrel.
