Jump to content
Forum Kopalni Wiedzy

Recommended Posts

Podczas drugiego dnia hakerskich zawodów Pwn2Own uczestnicy przełamali zabezpieczenia smartfonów z systemami BlackBerry oraz iOS. System kanadyjskiej firmy RIM poddał się ekspertom z firmy Team Anon, którzy wykorzystali dziurę w silniku WebKit i przejęli kontrolę nad urządzeniem BlackBerry Torch 9800. Z kolei iPhone'a udało się złamać dzięki luce w MobileSafari. Celem ataków był iOS 4.2.1, a nie najnowszy iOS 4.3, którego Apple opublikował w przeddzień Pwn2Own. W nowym systemie dziura, którą wykorzystali hakerzy, nie została załatana, jednak iOS 4.3 korzysta z mechanizmu ASLR, który uniemożliwiłby uruchomienie szkodliwego kodu, jaki został użyty. Nie oznacza to jednak, że dziury tej nie można wykorzystać. Atak ciągle jest możliwy do przeprowadzenia, ale za pomocą zmienionego kodu.

Nikomu nie udało się na razie złamać zabezpieczeń Windows Phone 7 zainstalowanego na smartfonie Dell Venue Pro ani Androida na Samsung Nexus S.

Jeden uczestnik przeprowadził też atak na przeglądarkę Firefox - Safari oraz IE8 zostały złamane pierwszego dnia - jednak był on nieskuteczny. Nikt nie pokusił się o atak na Chrome'a.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Similar Content

    • By KopalniaWiedzy.pl
      Inżynierowie Google'a ostrzegają przed błędami w przeglądarce Chrome. Jeden z nich to dziura typu zero-day, jest zatem aktywnie wykorzystywana przez cyberprzestępców. Błędy znaleziono w Chrome dla wszystkich platform.
      Google nie zdradza szczegółów najgroźniejszego błędu. Firma zapowiedziała, że poinformuje o nich dopiero, gdy błąd zostanie załatany przez większość użytkowników. Jeśli jednak okaże się, że dziura istnieje też w bibliotekach firm trzecich, to informacja na jej temat może zostać wstrzymana.
      Luka zero-day została oznaczona jako CVE-2019-13720. Wiadomo jedynie, że jest ona podobna do innej znalezionej właśnie luki, CVE-2019-13721. Obie pozwalają na doprowadzenie do awarii podsystemu pamięci i przejęcia kontroli nad systemem. O ile jednak CVE-2019-13721 występuje w bibliotece PDFium, to CVE-2019-13720 to podatność w komponencie audio Chrome'a.
      Wszystkie dziury mają zostać załatane w wersji 78.0.3904.87 Chrome'a dla systemów Windows, Mac i Linux.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Przed trzema dniami magazyn „Variety” poinformował, że w Los Angeles wielu specjalistów zajmujących się obróbką programów telewizyjnych czy filmów nie mogło uruchomić swoich stacji roboczych. Pojawiły się spekulacje, że doszło do ataku na maszyny Mac Pro, szczególnie zaś na użytkowników oprogramowania Avid Media Composer, z których często korzysta przemysł rozrywkowy. Prawda okazała się jednak bardziej banalna, niż atak cyberprzestępców. Przyczyną problemów okazała się wadliwa aktualizacja dla przeglądarki Chrome.
      Jak poinformował Google, po jej zainstalowniu doszło do wyłączenia mechanizmów dbających o integralność systemu operacyjnego oraz pojawiły się inne liczne błędy, w tym uszkodzenie systemu plików. Komputery przestały się uruchamiać. "Wstrzymaliśmy rozpowszechnianie poprawki i pracujemy nad rozwiązaniem", poinformowano na blogu Google'a.
      SIP (System Integrity Protection) to mechanizm, który w macOS zagościł w 2015 roku. Chroni on integralność systemu m.in. uniemożliwiając usuwanie i modyfikacje pewnych plików i katalogów. Prawo do takich działań mają tylko niektóre autoryzowane procesy. Wydaje się, że poprawka dla Chrome'a próbowała modyfikować system plików macOS-a chroniony przez SIP. Jeśli SIP był włączony – a jest uruchomiony domyślnie – zapobiegał takiej modyfikacji. Jednak tam, gdzie SIP wyłączono dochodziło do takich zmian, które uniemożliwiały uruchomienie systemu. Szczególnie duże problemy stwarzało usunięcie dowiązania symbolicznego do folderu /var.
      Przyczyną, dla którego problemy dotknęły tak wielu użytkowników Avid Media Composer jest fakt, że aby móc używać kart graficznych firm trzecich muszą oni wyłączyć SIP.
      Google przygotował instrukcję opisującą, w jaki sposób uruchomić komputery, które ucierpiały w wyniku zainstalowania aktualizacji. Obecnie nie wiadomo, kiedy ukaże się jej dobrze działająca wersja.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Hakerzy aktywnie wykorzystują dziurę we wbudowanym w Chrome czytników PDF-ów. Dziura daje napastnikowi dostęp do takich informacji jak adres IP komputera, dane o wersji systemu operacyjnego, wersji Chrome'a czy pełną ścieżkę dostępu do pliku PDF.
      Wiadomo, że złośliwe PDF-y wykorzystujące lukę pojawiły się już w grudniu ubiegłego roku. Gdy użytkownik otworzy taki plik, informacje na temat komputera są przesyłane na serwer napastnika. Na szczęście dziura nie pozwala na kradzież haseł, co było możliwe dzięki niedawno odkrytej luce w Adobe Readerze.
      Odkrywcy dziury poinformowali Google'a o problemie pod koniec grudnia. W lutym firma odpowiedziała, że wyda łatę do końca kwietnia. W takiej sytuacji firma, która znalazła dziurę zdecydowała się o niej poinformować wcześniej. Użytkownicy Chrome'a powinni korzystać z alternatywnego czytnika PDF lub też odłączać komputer od sieci podczas otwierania pliku PDF za pomocą Chrome'a.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Tesla jest kolejną, obok Microsoftu, Oracle'a, Adobe i VMware, firmą, która postanowiła skonfrontować swój produkt z umiejętnościami hakerów biorących udział w zawodach Pwn2Own, które odbędą się w marcu.
      Nagrody pieniężne za przełamanie zabezpieczeń Tesli Model 3 wahają się od 35 000 do 250 000 dolarów. Uczestnicy mogą też wygrać samochód. Najwyższą nagrodę, 250 000 dolarów, przewidziano dla osoby, przełamie zabezpieczenia Tesla Gateway, Autopilota lub VCSEC (Vehicle Controller Secondary) i przyzna sobie prawa do wykonywania programów.
      Za udany atak na modem lub tuner w Tesli przewidziano 100 000 USD, a za atak typu DoS na Autopilota będzie można zdobyć 50 000 dolarów. Za złamanie zabezpieczeń kluczyka lub wykorzystanie smartfonu w roli kluczyka otrzymamy 100 000 dolarów. Tyle samo zarobimy, jeśli uda się nam przejąć kontrolę nad magistralą CAN (Controller Area network). Tesla zapłaci też do 50 000 dolarów za takie przełamanie zabezpieczeń, które da nam kontrolę administracyjną nad danym komponentem nawet po przeładowaniu systemu.
      Duże pieniądze można będzie zarobić nie tylko atakując samochód Tesli. Microsoft zaoferował 250 000 USD za każdy udany atak na klienta Hyper-V, podczas którego zwiększymy swoje uprawnienia z klienta do hosta. To niezwykle ważny element w strategii Microsoftu, który coraz mocnej inwestuje w chmury komputerowe, dlatego też firmie szczególnie zależy na bezpieczeństwie Hyper-V. Byłoby dla niej katastrofą, gdyby pojawiła się publicznie znana dziura pozwalająca na przejęcie klientowi kontroli nad hostem. Dlatego też koncern poddaje swoje produkty testom podczas Pwn2Own.
      WMware, które specjalizuje się w oprogramowaniu do wirtualizacji postanowiło poddać próbie VMware ESXi oraz WMware Workstation. Za przełamanie ich zabezpieczeń firma płaci, odpowiednio, 150 000 i 70 000 dolarów. Z kolei firma Oracle zaoferowała 35 000 dolarów za załamanie zabezpieczeń swojego VirtualBox.
      Hakerzy będą mogli też spróbować swoich sił przeciwko przeglądarkom, Windows Defender Application Guard, Microsoft Outlook czy Adobe Reader.
      Ponadto autor pierwszego udanego ataku podczas Pwn2Own również otrzyma Teslę Model 3.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Mozilla ujawniła swoje tegoroczne plany dotyczące rozwoju przeglądarki Firefox. Jeśli zapowiedzi zostaną zrealizowane, znikną główne powody do narzekań na przeglądarkę.
      Firma zapowiada, że skończą się problemy z kompatybilnością dodatków. Od kilku miesięcy wszystkie dodatki powinny być  domyślnie kompatybilne. Te, które działały w Firefoksie 4 i kolejnych, powinny bezproblemowo działać w Firefoksie 10 i kolejnych. Ponadto od Firefoksa 11 możliwa jest synchronizacja dodatków. Te zmiany już zostały wprowadzone.
      Najważniejszą ze zmian, z którymi jeszcze nie mieliśmy do czynienia jest system cichych poprawek. Trafią one do Firefoksa 12. Pierwotnie miały być one obecne już w Firefoksie 10, jednak prace się przeciągnęły.
      Mechanizm cichych poprawek sprawi, że przeglądarka będzie samodzielnie, bez informowania użytkownika, pobierała łaty i je instalowała. Taką technikę stosuje już Chrome. W Firefoksie jednak, w przeciwieństwie do Chrome’a, użytkownik będzie mógł wyłączyć ten mechanizm.
      Mozilla zapowiedziała też liczne zmiany w swoich narzędziach dla deweloperów.
×
×
  • Create New...