Chrome, Safari и Flash взломали в первый день Pwn2Own 2016


Основными целями исследователей, собравшихся на ежегодное мероприятие Pwn2Own 2016 в Ванкувере, стали Safari и Adobe Flash, которые легко сдались под натиском участников, в итоге выигравших $282,5 тыс. в течение первого дня, сообщает Threatpost.

Мероприятие проводится одновременно с конференцией CanSecWest и спонсируется Hewlett Packard Enterprise, Trend Micro и Zero Day Initiative.

Из всех попыток четыре увенчались успехом, одна была частично успешной, а одна провалилась.

Чонхун Ли, выступавший под ником lokihardt, первым нашел лазейки в Safari. Ли, для которого Pwn2Own проходит уже второй раз, смог связать воедино четыре бага, в том числе уязвимости использования высвобожденной памяти и переполнения буфера хипа, что позволило ему повысить привилегии для взлома и в конечном итоге заработать премию $60 тыс. В прошлом году Ли установил рекорд в ходе второго дня конкурса: всего лишь за две минуты он заработал $110 тыс., взломав бета- и готовую версии Google Chrome.

Участники команды Tencent Security Team Shield, объединившей известных аудитории Pwn2Own представителей KeenLab и PC Manager, также смогли взломать Safari чуть позже, используя уязвимость высвобожденной памяти в привилегированном процессе, что позволило им повысить права до уровня root.

Но самым большим событием первого дня стал триумф хакеров из команды 360Vulcan Team: они смогли скомпрометировать Flash и заработали самую большую сумму за первый день — $80 тыс. Группа воспользовалась багом некорректного определения типов объектов в популярной платформе. В сочетании с уязвимостью ядра Windows этот баг привел к повышению привилегий с user до SYSTEM.

Хакеры из команды Tencent Xuanwu Lab попытались взломать Flash путем повышения привилегий, но не смогли использовать эксплойт в течение отведенных на это 15 минут. Члены команды 360Vulcan Team, успев взломать Flash, частично взломали Google Chrome. Группа использовала баг доступа к несуществующим данным, о котором было известно Google, а также три уязвимости использования высвобожденной памяти, но баги не сработали вместе. Эту попытку судьи засчитали как «частично успешную», что позволило команде получить $52,5 тыс., увеличив выигрыш первого дня до $132,5 тыс.

Это первый год, когда на Pwn2Own участники имеют возможность взломать виртуальную систему Workstation от VMware, установленную на Windows-компьютерах. При успешном побеге с виртуальной машины счастливчики могут получить $75 тыс., но в ходе первого дня никто так и не рискнул это сделать, и многие также не рассматривают эту цель и на второй день состязания. Участники попытаются взять Workstation штурмом еще раз на второй день, а также снова постараются взломать Safari, Chrome, Flash, а также Microsoft Edge, оставленный на потом.
Автор: Softodrom.ru
Дата: 19.03.2016


Новости > Безопасность > Chrome, Safari и Flash взломали в первый день Pwn2Own 2016
Все рубрики Новостей:
Топ-сегодня раздела Безопасность
Глава ФСБ: для борьбы с террором надо решать проблему анонимности Интернета
Необходимо решить проблему бесконтрольности и анонимности глобального виртуального пространства, которыми активно пользуются террористы
Российская армия переходит на электронные паспорта
Фактически, как отмечают в «Ангстреме», это начало тестирования «электронных паспортов», в перспективе годных для всех граждан России
Правоохранительные органы и IT-компании объединили усилия для борьбы с программами-шифровальщиками
Эксперты ни в коем случае не рекомендуют платить злоумышленникам выкуп за восстановление доступа к зашифрованным данным
Система шифрования Bitlocker в Windows 7 взломана
Компания Passware выпустила пакет Passware Kit 9.5, позволяющий получить доступ к информации,находящейся на зашифрованных с помощью Bitlocker жестких дисках
Хакеры взломали сайт Ammyy Admin и подменили дистрибутивы
Злоумышленники скомпрометировали дистрибутивы популярной системы удаленного доступа и администрирования Ammyy Admin
Новинки раздела Безопасность
Глава ФСБ: для борьбы с террором надо решать проблему анонимности Интернета
Необходимо решить проблему бесконтрольности и анонимности глобального виртуального пространства, которыми активно пользуются террористы
Российская армия переходит на электронные паспорта
Фактически, как отмечают в «Ангстреме», это начало тестирования «электронных паспортов», в перспективе годных для всех граждан России
Правоохранительные органы и IT-компании объединили усилия для борьбы с программами-шифровальщиками
Эксперты ни в коем случае не рекомендуют платить злоумышленникам выкуп за восстановление доступа к зашифрованным данным
Москвичи стали чаще шифровать данные домашнего Wi-Fi
Настройка шифрования домашней беспроводной сети впервые вошла в Топ-3 подобных запросов и сразу же возглавила список
С форума Ubuntu украли 2 млн паролей
Это вторая крупная утечка с форумов Ubuntu за последние пару лет
Copyright © 1999-2016 Softodrom.ru
О перепечатках | RSS каналы | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: http://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».