Skip to main content
Hermes Banner 1
DIGITAL TV 189
ilka aggelia
securityreport e mag odhgos 2021
21 Μαρτίου 2015 00:06

Διαγωνισμός… hacking στο Βανκούβερ

admin ajax.php?action=kernel&p=image&src=%7B%22file%22%3A%22wp content%2Fuploads%2F2022%2F05%2Fe162e41c2016dbf9a4f7ef4fa6de229c XL

Η πρώτη μέρα του Pwn2Own 2015, του hacking διαγωνισμού που πραγματοποιείται στο Βανκούβερ του Καναδά πρόσφερε μεγάλα έπαθλα στους διαγωνιζόμενους και πονοκεφάλους στους κατασκευαστές λογισμικού: οι διαγωνιζόμενες ομάδες κατάφεραν να αξιοποιήσουν επιτυχώς φρέσκες ευπάθειες στο Adobe Flash..Η πρώτη μέρα του Pwn2Own 2015, του hacking διαγωνισμού που πραγματοποιείται στο Βανκούβερ του Καναδά πρόσφερε μεγάλα έπαθλα στους διαγωνιζόμενους και πονοκεφάλους στους κατασκευαστές λογισμικού: οι διαγωνιζόμενες ομάδες κατάφεραν να αξιοποιήσουν επιτυχώς φρέσκες ευπάθειες στο Adobe Flash και Reader, τα Windows της Microsoft, τον Internet Explorer και τον Firefox της Mozilla.

Ο διαγωνισμός Pwn2Own, που διοργανώνεται για οκτώ συνεχόμενα χρόνια από το Zero Day Initiative (ZDI) της HP και το Project Zero της Google, προσελκύει ερευνητές ασφάλειας από όλο τον κόσμο. Οι συμμετέχοντες πρέπει να εξηγήσουν πώς κατάφεραν τις επιθέσεις τους, και φυσικά αν αξίζουν υπάρχουν πολλά εκατομμύρια δολάρια για την επιβράβευση τους.

Την Τετάρτη, ο ερευνητής ασφαλείας Nicolas Joly ήρθε παρουσίασε και έφυγε κατά 90.000 δολάρια πλουσιότερος. Ο ερευνητής κατάφερε να συνδυάσει ένα use-after-free (UAF) remote-code execution με μια ευπάθεια sandbox escape directory traversal στο Adobe Flash για να εκτελέσει αυθαίρετο κώδικα στον υπολογιστή, κερδίζοντας 30.000 δολάρια. Το υπόλοιπο ποσό δηλαδή τα 60 χιλιάδες δολάρια κατάφερε να κερδίσει προσβάλλοντας και τον Adobe Reader, καταφέρνοντας να εκτελέσει αυθαίρετο κώδικα από απόσταση.

«Είναι το είδος των επιθέσεων που έρχεστε στο Βανκούβερ για διακοπές και φεύγετε με μετρητά,»δήλωσε ο Joly, αποκαλύπτοντας ότι είχε γράψει το τελευταίο μέρος του exploit για τον Reader στο αεροπλάνο, στον δρόμο του για το συνέδριο.

Οι ομάδες hacking Tencent PCMgr και KeenTeam μοιράστηκαν 140.000 δολάρια επίσης στο διαγωνισμό της Τετάρτης – κερδίζοντας 30.000 δολάρια την ανάληψη ελέγχου του Reader με integer overflow, και 25.000 δολάρια για ένα exploit σε επίπεδο συστήματος για την εκτέλεση κώδικα στα Windows μέσω ενός bug στο χειρισμό του TrueType font από το kernel.

Οι ίδιοι κατάφεραν ακόμα να κερδίσουν άλλα 60 χιλιάδες δολάρια χρησιμοποιώντας ένα heap overflow bug στο Flash για απομακρυσμένη εκτέλεση κώδικα. Στη συνέχεια, κατάφεραν να αυξήσουν τα προνόμιά τους σε επίπεδο συστήματος μέσω ενός άλλου ελαττώματός της γραμματοσειράς TrueType στον πυρήνα και κέρδισαν άλλα 25.000 δολάρια.

Όμως ο star της ημέρας ήταν ερευνητής Mariusz Mlynski, ο οποίος σε 0,512 δευτερόλεπτα κατάφερε να εκμεταλλευτεί μια ευπάθεια cross-origin του Firefox για να επιτεθεί σε ένα logical flaw των Windows. Αυτό του επέτρεψε την κλιμάκωση των προνομίων και την απομακρυσμένη εκτέλεση κώδικα, κερδίζοντας 55.000 δολάρια.

Εν τω μεταξύ, η νέα ομάδα 360Vulcan έσπασε τον 64-bit Internet Explorer 11 χρησιμοποιώντας μια ευπάθεια μνήμης (uninitialized memory) κάτι που τους επέτρεψε εκτέλεση κώδικα για ένα βραβείο 32.500 δολαρίων.

Ο διαγωνισμός Pwn2Own συνεχίζεται και σήμερα, και οι διαγωνιζόμενοι έχουν στοχοποιήσει τον Safari της Apple, τον Google Chrome και τον Internet Explorer. Οι ιθύνοντες του ευάλωτου λογισμικού αναμένεται να ανακοινώσουν όλες τις λεπτομέρειες όταν τα προϊόντα τους επιδιορθωθούν.

Πηγή: https://iguru.gr

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

Security Report, Ιούνιος 2024
Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Ιουνίου, πάντα μαζί με το περιοδικό Ψηφιακή Τηλεόραση. Στο νέο τεύχοςθα βρείτε ενδιαφέροντα θέματα και δοκιμές πο...
Τα εργασιακά δικαιώματα στα τεχνικά επαγγέλματα
Στη σύγχρονη και γεμάτη προκλήσεις κοινωνία μας, η ασφάλεια αποτελεί τη σπουδαιότερη προτεραιότητα τόσο για τον άνθρωπο όσο και για τις επιχειρήσεις. Η ασφάλεια όλων των συνανθρώπων μας ήταν, είνα...
Dahua Lab Tour
Το 2024 μπήκε δυναμικά για το πολύ επιτυχημένο «οδοιπορικό» hands on technical training της Keeper Group και της Dahua Technology με τον πρώτο προορισμό για τη φετινή χρονιά να είναι η Λάρισα. ...
Ανίχνευση Ομοιότητας
Σήμερα, όλο και περισσότερες εταιρείες αποκτούν μεγαλύτερη αξία εφαρμόζοντας στα συστήματα παρακολούθησης βίντεο που χρησιμοποιούν λογισμικά ανάλυσης βίντεο βασισμένα σε τεχνητή νοημοσύνη. Οι εν λ...
Αναβάθμιση του χρηματοπιστωτικού τομέα
Οι τράπεζες και τα χρηματοπιστωτικά ιδρύματα αποτελούν σημαντικό κομμάτι της καθημερινότητάς μας, καθώς πρόκειται για εγκαταστάσεις όπου φυλάσσονται μετρητά και άλλα τιμαλφή σε μεγάλες ποσότητες. ...
Συστήματα ήχου PA της Hikvision
H Hikvision εισέρχεται δυναμικά στον χώρο των επαγγελματικών ηχητικών συστημάτων PA (Public Address), τα οποία μπορεί να συνδυάζονται με τα συστήματα CCTV της, παρέχοντας ολοκληρωμένες λύσεις audi...
Hikvision HiWatch Series
Τα προϊόντα της σειράς HiWatch της Hikvision, που αποτελούνται από καταγραφικά και κάμερες με σύγχρονες δυνατότητες και χαρακτηριστικά, θα τα βρείτε διαθέσιμα στο νέο B2B site της Stam Electronics...
Hikvision Turbo HD 8.0
Για τα προϊόντα Turbo HD της Hikvision δεν χρειάζονται ιδιαίτερες συστάσεις. Υψηλή ανάλυση, μετάδοση σήματος μέσω ομοαξονικού σε μεγάλες αποστάσεις, κορυφαία συμπίεση βίντεο, χαμηλότερες απαιτήσει...