Chrome, Safari и Flash взломали в первый день Pwn2Own 2016




Основными целями исследователей, собравшихся на ежегодное мероприятие Pwn2Own 2016 в Ванкувере, стали Safari и Adobe Flash, которые легко сдались под натиском участников, в итоге выигравших $282,5 тыс. в течение первого дня, сообщает Threatpost.

Мероприятие проводится одновременно с конференцией CanSecWest и спонсируется Hewlett Packard Enterprise, Trend Micro и Zero Day Initiative.

Из всех попыток четыре увенчались успехом, одна была частично успешной, а одна провалилась.

Чонхун Ли, выступавший под ником lokihardt, первым нашел лазейки в Safari. Ли, для которого Pwn2Own проходит уже второй раз, смог связать воедино четыре бага, в том числе уязвимости использования высвобожденной памяти и переполнения буфера хипа, что позволило ему повысить привилегии для взлома и в конечном итоге заработать премию $60 тыс. В прошлом году Ли установил рекорд в ходе второго дня конкурса: всего лишь за две минуты он заработал $110 тыс., взломав бета- и готовую версии Google Chrome.

Участники команды Tencent Security Team Shield, объединившей известных аудитории Pwn2Own представителей KeenLab и PC Manager, также смогли взломать Safari чуть позже, используя уязвимость высвобожденной памяти в привилегированном процессе, что позволило им повысить права до уровня root.

Но самым большим событием первого дня стал триумф хакеров из команды 360Vulcan Team: они смогли скомпрометировать Flash и заработали самую большую сумму за первый день — $80 тыс. Группа воспользовалась багом некорректного определения типов объектов в популярной платформе. В сочетании с уязвимостью ядра Windows этот баг привел к повышению привилегий с user до SYSTEM.

Хакеры из команды Tencent Xuanwu Lab попытались взломать Flash путем повышения привилегий, но не смогли использовать эксплойт в течение отведенных на это 15 минут. Члены команды 360Vulcan Team, успев взломать Flash, частично взломали Google Chrome. Группа использовала баг доступа к несуществующим данным, о котором было известно Google, а также три уязвимости использования высвобожденной памяти, но баги не сработали вместе. Эту попытку судьи засчитали как «частично успешную», что позволило команде получить $52,5 тыс., увеличив выигрыш первого дня до $132,5 тыс.

Это первый год, когда на Pwn2Own участники имеют возможность взломать виртуальную систему Workstation от VMware, установленную на Windows-компьютерах. При успешном побеге с виртуальной машины счастливчики могут получить $75 тыс., но в ходе первого дня никто так и не рискнул это сделать, и многие также не рассматривают эту цель и на второй день состязания. Участники попытаются взять Workstation штурмом еще раз на второй день, а также снова постараются взломать Safari, Chrome, Flash, а также Microsoft Edge, оставленный на потом.
Автор: Softodrom.ru
Дата: 19.03.2016


» Оставьте первым свой комментарий


Новости > Безопасность > Chrome, Safari и Flash взломали в первый день Pwn2Own 2016
Все рубрики Новостей:
Топ-сегодня раздела Безопасность
В список экстремистских материалов впервые включили видео из сообщения мессенджера
Мессенджерам потребовалось 10 лет на признание сообщений в них экстремизмом
Майнер криптовалюты Coinhive идет навстречу пользователям
Coinhive позволяет монетизировать трафик сайтов, встраивая в код браузера майнер для популярной криптовалюты Monero
Программиста Левашова заочно арестовали в России
Обвиняемый в США в хакерстве программист Петр Левашов ранее заявил, что работал на «Единую Россию»
Безопасность Telegram назвали маркетингом Дурова
Дуров никогда не открывал исходный код своей криптографии, поэтому нет никаких оснований думать, что Telegram безопасней, чем другие мессенджеры
Рогозин о закупках иностранного софта: мы просто бомбу затаскиваем в собственный дом
Да и просто никто не отменял промышленный шпионаж, поэтому это просто глупо
Новинки раздела Безопасность
В список экстремистских материалов впервые включили видео из сообщения мессенджера
Мессенджерам потребовалось 10 лет на признание сообщений в них экстремизмом
Майнер криптовалюты Coinhive идет навстречу пользователям
Coinhive позволяет монетизировать трафик сайтов, встраивая в код браузера майнер для популярной криптовалюты Monero
Программиста Левашова заочно арестовали в России
Обвиняемый в США в хакерстве программист Петр Левашов ранее заявил, что работал на «Единую Россию»
Безопасность Telegram назвали маркетингом Дурова
Дуров никогда не открывал исходный код своей криптографии, поэтому нет никаких оснований думать, что Telegram безопасней, чем другие мессенджеры
Русский киберпреступник внедрил майнер Monero в мод для GTA и хвастался в соцсетях
Злоумышленник не особенно старался замести следы и хвастался в социальных сетях своими успехами, благодаря чему специалистам удалось выяснить его имя и место проживания
Copyright © 1999-2017 Softodrom.ru
О перепечатках | RSS каналы | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».