LINUX.ORG.RU
ФорумTalks

Safari, Internet Explorer, Windows 7, Mac os x - Решето!


0

1

Завершился первый день соревнований Pwn2own по взлому типичных программных окружений, проводимых ежегодно в рамках конференции CanSecWest.

Попытки взлома браузера Chrome не увенчались успехом, несмотря на учреждение компанией Google дополнительного приза в размере 20 тыс.

В процессе атаки на Safari и Internet Explorer 8, взлом был произведен через ранее неизвестные уязвимости (zero-day)

При взломе Safari использовалась последняя версия браузера 5.0.3, запущенная в операционной системе Mac OS X 10.6.6, на которую был наложен полный комплект всех доступных патчей.

Для организации атаки оказалось достаточным открыть в браузере специально подготовленную страницу.

Взлом Internet Explorer 8 был произведен Стефаном Февером (Stephen Fewer) из организации Harmony Security.В процессе атаки использовалась 32-разрядная версия браузера, запущенная на 64-разрядной системе Windows 7 Service Pack 1.

Повторив историю со взломом Safari, после открытия специально оформленной web-страницы

http://www.opennet.ru/opennews/art.shtml?num=29864

> В процессе атаки на Safari и Internet Explorer 8, взлом был произведен через ранее неизвестные уязвимости (zero-day)

Вперде, just as planned.

При взломе Safari использовалась последняя версия браузера 5.0.3, запущенная в операционной системе Mac OS X 10.6.6, на которую был наложен полный комплект всех доступных патчей.

Звучит как отчет боёвки ролевой игры, надо только заменить «патчей» на «бафов». No luck just skill, ага.

geekless ★★ ()
Ответ на: комментарий от Absolute_Unix

Так сломали Opera или нет?
Аватарка эт шоб троллей отпугивать... шоб боялись.

redkot ()

Гугл Хром как всегда непобедим.

Enot52 ()
Ответ на: комментарий от redkot

Так сломали Opera или нет?

Opera вроде не участвует. А фаерфокс как раз прям сейчас пытаются взломать.

Absolute_Unix ()

>20 тыс.

20 тыс чего? Синих шариков? Что это у вас величина безразмерная?

luke ★★★★ ()

и да, я не понял, под какой осью запустили chrome

luke ★★★★ ()
Ответ на: комментарий от redkot

Opera твоя - неуловимый джо. (как и Линукс десктопный)

RedPossum ★★★★★ ()
Ответ на: комментарий от cuki

лучше бы в мегакалориях, а не в деньгах. есть хочется

luke ★★★★ ()
Ответ на: комментарий от luke

и да, я не понял, под какой осью запустили chrome

Гугл естественно будет платить долларами, ты думал 20-тыс гривен? А про ОС хз, на опеннет не написано. Может ChromeOS?

Absolute_Unix ()

ждём результаты по мобильникам.

RedPossum ★★★★★ ()

Эта ссылка на новость, или на ту «прикольную» страницу :)

deterok ★★★★★ ()
Ответ на: комментарий от Absolute_Unix

>ты думал 20-тыс гривен

было смутное подозрение, что могут и в более европейской валюте дать

на опеннет не написано

я не Ъ, по ссылке ходил, знаю, что не написано. А ведь это важно.

Может ChromeOS

Сомневаюсь.

luke ★★★★ ()
Ответ на: комментарий от Absolute_Unix

На первоисточнике тоже не написано

luke ★★★★ ()

Ну другого от Хрома и не ожидал!

kovrik ★★★★★ ()
Ответ на: комментарий от luke

>я не Ъ, по ссылке ходил, знаю, что не написано. А ведь это важно.

Уже написали

proud_anon ★★★★★ ()
Ответ на: комментарий от RedPossum

> Opera твоя - неуловимый джо. (как и Линукс десктопный)
Не я под семерочкой explorer 9 юзаю, хорошая интеграция с системой, правильно отправляет цитаты в OneNote и т.п.

redkot ()
Ответ на: комментарий от luke

>где?

Я думал, ты про доллары.

Но про Chrome в первоисточнике тоже написано.

The third browser to be tested was scheduled to be Chrome. However, the contestant registered to attempt the attack did not show up, so the browser remains unbeaten. One possible reason for this is that Google published a Chrome update yesterday, closing at least 24 security flaws. The would-be Chrome attacker may have been depending on one of these flaws to attack the browser. Or he or she may have been unable to produce a reliable attack. Google has sponsored the Chrome hacking contest, awarding extra prize money for Chrome hacks, but with stricter rules for the hacks.

Таким образом, его никто и не запускал: зарегистрированный взломщик на мероприятие не явился. Это, возможно, связано с тем, что Гугл за день до того выпустил обновление с фиксом 24 критических уязвимостей, а взломщик рассчитывал как раз на одну из них, или с тем, что способ у взломщика был ненадежный, и он побоялся.

proud_anon ★★★★★ ()
Ответ на: комментарий от anonymous_sama

>О спонсировал не гугл случайно?
Не все, только конкурс по Хрому.

proud_anon ★★★★★ ()
Ответ на: комментарий от KaKToTaKTyC

Открыл в опере и спокойно закрыл, хром так не умеет? Бяда, бяда.

redkot ()
Ответ на: комментарий от KaKToTaKTyC

> Иди туда хромом и закрой вкладку, не нажимая кнопки. Хром, блин...

закрылось и шорткатом, и мышью, надо как-то по другому?

aho ()
Ответ на: комментарий от KaKToTaKTyC

>Иди туда хромом и закрой вкладку, не нажимая кнопки. Хром, блин...

Хромиум 11.0.684.0, все закрылось.
Более того, начиная со второго диалогового окна в каждом была галочка «Предотвратить создание диалоговых окон на этой странице». Но я ее даже не нажимал, все равно закрылось.

proud_anon ★★★★★ ()
Ответ на: комментарий от proud_anon

Или под «не нажимая кнопки» имелось в виду, что надо было и в этих диал. окнах кнопки не нажимать?

proud_anon ★★★★★ ()
Ответ на: комментарий от proud_anon

А где есть СТАБИЛЬНЫЙ 11-й GOOGLE CHROME? Не надо подтасовками заниматься, хорошо?

KaKToTaKTyC ()
Ответ на: комментарий от KaKToTaKTyC

Иди туда хромом и закрой вкладку, не нажимая кнопки. Хром, блин...

Сходил закрыл:)

10.0.648.127

Absolute_Unix ()
Ответ на: комментарий от KaKToTaKTyC

>А где есть СТАБИЛЬНЫЙ 11-й GOOGLE CHROME? Не надо подтасовками заниматься, хорошо?

Во-первых, кто в условии задачи сказал, что нужно брать стабильный Хром? Какой у меня стоит, таким я и воспользовался.

Во-вторых, а в стабильном 10-м Хроме оно что, не закрывается?

proud_anon ★★★★★ ()
Ответ на: комментарий от proud_anon

На соревнованиях используются стабильные версии же? Я про это место узнал, когда там поймали троян под 9-м стабильным виндохромом.

KaKToTaKTyC ()
Ответ на: комментарий от KaKToTaKTyC

KaKToTaKTyC> На соревнованиях используются стабильные версии же?

Какой смысл показывать таким образом уязвимости в стабильной версии, если в нестабильной они уже закрыты?

vurdalak ★★★★★ ()
Ответ на: комментарий от vurdalak

Закрытие выразилось в добавлении чекбокса «предотвратить выполнение сценариев на этой странице?», каковые лет много имеются у всех прочих браузеров. По оффтопиком в этом месте можно совершить множество славных дел.

KaKToTaKTyC ()
Ответ на: комментарий от KaKToTaKTyC

KaKToTaKTyC> Закрытие выразилось в добавлении чекбокса «предотвратить выполнение сценариев на этой странице?», каковые лет много имеются у всех прочих браузеров.

И что? Смысл подобных мероприятий - показать уязвимости, чтобы их могли исправить. Если в нестабильной версии (которая скоро станет стабильной) все уже исправлено, то какой смысл эти исправленные баги показывать?

vurdalak ★★★★★ ()
Ответ на: комментарий от vurdalak

1. В фоксе год назад был такой чекбокс. Можно предполагать аналогичное отставание по другим банальным отверстиям?

2. Очень советую посмотреть на офисную леди, вчитывющуюся в предложение предотвратить выполнение сценариев. В высшей степени забавное зрелище.

KaKToTaKTyC ()
Ответ на: комментарий от Absolute_Unix

>Хромиум 11.0.684.0, все закрылось.

закрылось и шорткатом, и мышью, надо как-то по другому?

Сходил закрыл:)



Теперь у KaKToTaKTyC есть свой небольшой ботнет. :]

AX ★★★★★ ()
Ответ на: комментарий от Absolute_Unix

У меня на бету от сейчас надет эдблок с последними обновлениями. В твоём случае редирект на рекламу, поскольку даже безграмотная школота поняла, что не всякий linux жрёт не всякий exeшник.))) Растут, блин... А фоновые страницы загрузились?

KaKToTaKTyC ()

У меня по ссылки не каких порно сайтов не открывалось и не каких окон с надписью " доступ заблокирован" не появлялось, что я не так делаю???

По ссылки я попадаю на какой то детский сайт.

Absolute_Unix ()
Ответ на: комментарий от Absolute_Unix

Если у меня будет ботнет под nixами, я его сразу всем покажу и тем прославлюсь. Это школота занимается, что отлично видно по мягким знакам.

KaKToTaKTyC ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.