Mellékleteink: HUP | Gamekapocs
Keres

A Safari és az IE esett először a hackerek áldozatául

Bodnár Ádám, 2011. március 10. 09:47
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

A vancouveri CanSecWest biztonsági konferencián tegnap kezdődött a Pwn2Own verseny, ahol a népszerű böngészőket sikeresen feltörő szakemberek több ezer dollárral és a szoftvert futtató számítógéppel lettek gazdagabbak. Szokás szerint az Apple Safari esett el először, de az IE8 is elsőre kapitulált.

Elsőre sikerült feltörni a Safarit

Az előző három évben Charlie Miller törte meg először a Safarit, 2011-ben ez a francia Vupen biztonsági cég csapatának sikerült, ők tették zsebre a 15 ezer dolláros (~3 millió forintos) fődíjat és nyerték meg a vadonatúj MacBook Prót - írja az amerikai Computerworld. A szabályok szerint a jelentkező csapatok között sorsolással döntötték el, ki próbálkozhat elsőre, a vakszerencse a Vupennek kedvezett, Charlie Miller már nem tudta bemutatni saját törését, mivel a Safari az első próbálkozás után kiesett a versenyből.

Az Apple tegnap hatalmas biztonsági frissítést adott ki a Safarihoz, az 5.0.4 verzióban több mint 60 sebezhetőséget foltozott be. A Pwn2Own versenyben azonban a különféle böngészők két héttel ezelőtt elérhető verziói szerepeltek: Chrome 9, Firefox 3.6, Internet Explorer 8 és Safari 5.0.3. A törést nem a Safari 5.0.4-et, hanem az 5.0.3 változaton mutatta be a Vupen csapat, de a rendezvényt szponzoráló TippingPoint szerint a kifejlesztett exploit a legújabb verzión is működik.

A Pwn2Own szabályai értelmében a távoli kódfuttatásra lehetőséget adó sérülékenységeket a TippingPoint megosztja az adott böngésző gyártójával, aminek ezt követően hat hónapja van arra, hogy elkészítse a javítást, aztán a TippingPoint nyilvánosságra hozza a részleteket. A Vupen elnök-vezérigazgatója, Chaouki Bekrar ezért nem is árulhatott el részleteket azzal kapcsolatban, milyen módon törte meg a Safarit, a Register annyit derített ki, hogy a felhasználónak egy preparált weboldalt kell meglátogatnia, a támadó pedig a helyi felhasználó jogosultságaival tetszőleges kódot hajthat végre a gépen anélkül, hogy a felhasználó észlelné. A támadás ellen jelenleg egyféleképp lehet védekezni, erősen korlátozott jogosultságokkal kell böngészni a netet Safari alól. Az exploit elkészítéséhez két hétre volt szüksége Bekrarnak.

Az Internet Explorer is gyorsan kapitulált

A Microsoft Internet Explorer 8 is rögtön az első próbálkozásra elesett, a sikeres törést Stephen Fewer, a Harmony Security biztonsági cég alapítója mutatta be, aki egyébként rendszeresen talál és dokumentál szoftversebezhetőségeket. Fewer sikeresen megkerülte a böngésző Protected Mode-ját, amely elszigeteli a támadó kódokat a rendszer többi részétől és elvileg nem enged hozzáférést a registry-hez és rendszerfájlokhoz - saját bevallása szerint meglepően egyszerű volt kikerülni a védelmet. A Microsoft már vizsgálja a sebezhetőséget.

A Chrome elleni támadásra jelentkező szakértő nem jelent meg, pedig a TippingPoint által felajánlott 15 ezer dollár mellé a Google is bedobott további 20 ezret, vagyis összesen 35 ezer dollárt kaszálhatott volna, aki megtöri a Chrome-ot. A verseny ma a Firefox feltörésével folytatódik, illetve a Pwn2Own okostelefon-szekciójában a BlackBerry Torch 9800 (BlackBerry OS), az iPhone 4 (Apple iOS), a Google Nexus S (Google Android) és a Dell Venue Pro (Microsoft Windows Phone 7) megtörésével lehet próbálkozni, a siker jutalma itt is 15 ezer dollár.

Megjelent a Firefox 4 RC, érkezik a végleges IE9

A Pwn2Own versenyen történtek mellett két hírt érdemes még a böngészőkkel kapcsolatban megemlíteni. Az egyik, hogy megjelent a Firefox 4 kiadásra jelölt verziója, amely már letölthető a Mozilla weboldaláról, a Firefox 4 bétaváltozatok használói pedig a Help/About Firefox menüponton keresztül frissíthetnek rá. A kiadási jegyzék szerint az RC-ben stabilitási és kompatibilitási problémákat orvosoltak a fejlesztők, új képességek nincsenek.

A Microsoft március 14-én, jövő hétfőn fogja kiadni az Internet Explorer 9 végleges változatát. A böngésző fejlesztése a Firefox 4-gyel összevetve rendkívül gyorsan halad, a szeptemberi bétát januárban követte az RC. A Mozilla új böngészőjéből tavaly nyáron érkezett meg az első béta, majd ezt követően további 11 béta jelent meg és valószínűleg RC-ből is több lesz.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.