LINUX.ORG.RU

Pwn2Own: взломаны Chrome, Firefox, IE 10 и Java

 ,


0

3

http://www.opennet.ru/opennews/art.shtml?num=36328

Первый день соревнований Pwn2Own, проводимых ежегодно в рамках конференции CanSecWes, оказался как никогда плодотворен, - были продемонстрированы рабочие техники эксплуатации ранее неизвестных уязвимостей в Chrome, Firefox, IE 10, Windows 8 и Java. Во всех случаях атака была совершена при обработке в браузере специально оформленной web-страницы, открытие которой завершилось получением полного контроля над системой. При демонстрации атаки использовались самые свежие стабильные выпуски браузеров и операционных систем Windows 7, 8 и Mac OS X Mountain Lion со всеми доступными обновлениями в конфигурации по умолчанию.

★★★★★

и Mac OS X Mountain Lion

значит и в линуксе тоже

ну что, ко-ко-ко, швабодка-безопасность, кто сегодня будет это отстаивать?

stevejobs ★★★☆☆ ()
Ответ на: комментарий от stevejobs

значит и в линуксе тоже

Откуда такая уверенность? В BSD может быть, а вот GNU - ещё не факт.

Напомните, в макоси рут используется по умолчанию, или как в ubuntu?

ekzotech ★★★★ ()

Chrome, Firefox, IE 10, Windows 8 и Java

Хе, типичная компания.

splinter ★★★★★ ()

Достойна смена флешу

wxw ★★★★★ ()
Ответ на: комментарий от ekzotech

Это не важно, потому что для доступа к пользовательским данным рут не нужен.

Reset ★★★★★ ()

Java

Еще помню ломали через flash. Почему никто не ломает сервелат? Не флейма ради, неуловимый Джо или продуманная архитектура?

RedPossum ★★★★★ ()

Случаем не Криса Каспрерски творчество? Он же что-тот на тему независимой от ос уязвимости в процессорах интела говорил.

DNA_Seq ★★☆☆☆ ()
Ответ на: комментарий от Artificial_Thought

а меня в универе видеотрансляции на него завязаны и вообще куча всего. На сайте ms что-то с ним вечно, даже видео не посмотреть нормально. А так да, почти нету. Ну так и java почти нет нигде.

RedPossum ★★★★★ ()

фиговая же копипаста.

Для проведения атаки на Chrome был подготовлен многоуровневый рабочий эксплоит, использующий 0-day уязвимости в ОС для обхода ограничений sandbox в сочетании с уязвимостью в процессе рендеринга браузера.

венда онли. не нужно

punya ★★ ()
Последнее исправление: punya (всего исправлений: 1)
Ответ на: комментарий от RedPossum

Java-апплетов почти нет нигде, сама джава почти везде

GblGbl ★★★★★ ()
Ответ на: комментарий от GblGbl

Java-апплетов почти нет нигде, сама джава почти везде

Плагин Java был успешно атакован тремя разными участниками конкурса, представляющими компании Accuvant Labs, Contextis и Vupen, через эксплуатацию уязвимости, приводившей к возможности переполнения кучи.

Ну вот тебе и апплеты

RedPossum ★★★★★ ()
Ответ на: комментарий от RedPossum

Почему никто не ломает сервелат? Не флейма ради, неуловимый Джо или продуманная архитектура?

К его закапыванию ЕМНИП уже даже сама Microsoft присоединилась.

mironov_ivan ★★★★★ ()

хм, Opera так и не сломали, как я посмотрю?

lexxus-lex ★★★ ()
Ответ на: комментарий от mironov_ivan

К его закапыванию ЕМНИП уже даже сама Microsoft присоединилась.

ну да, но так и java особой популярностью не пользуется. Правда я не в курсе, есть silverlight у всех пользователей windows или надо отдельно ставить?

RedPossum ★★★★★ ()
Ответ на: комментарий от RedPossum

есть silverlight у всех пользователей windows или надо отдельно ставить?

Надо отдельно ставить.

buddhist ★★★★★ ()
Ответ на: комментарий от lexxus-lex

хм, Opera так и не сломали, как я посмотрю?

А зачем ее ломать? Пользователей мало. Ты бы еще сказал, что w3m и links не сломали)

observer ★★★ ()
Ответ на: комментарий от lexxus-lex

хм, Opera так и не сломали, как я посмотрю?

Опера настолько совершена, что пытаться найти изъяны в ней просто бессмысленно.

AX ★★★★★ ()
Ответ на: комментарий от lexxus-lex

хм, Opera так и не сломали, как я посмотрю?

Слово знакомое, но забыл, что это. Не напомнишь?

Adjkru ★★★★★ ()
Ответ на: комментарий от Adjkru

Слово знакомое, но забыл, что это. Не напомнишь?

Эх, а вроде культурные люди.

Tark ★★ ()

Вот так новость. Ты бы меня очень удивил, если бы сказал что «не смогли взломать», а так ничего нового. Пока ПО будут писать на языке, где возможны полсотни реализаций одного и того же, всегда всё будут ломать. Разве по логике вещей это не очевидно? Всё что создано человеком может быть им же и разрушено.

SjZ ★★★★★ ()
Ответ на: комментарий от SjZ

задуйте свечи - срочно нужен самый тяжёлый канделябр

yyk ★★★★★ ()

Java? А что это? Что-то ненужное из каменного века?

Deleted ()
Ответ на: комментарий от lexxus-lex

хм, Opera так и не сломали, как я посмотрю?

А бомжи из Opera ASA заплатят за одну дырку хотя бы 30k$? Оперные дырки выгоднее на черном рынке продавать. Оптом.

shahid ★★★★★ ()
Ответ на: комментарий от lexxus-lex

а, этот тот фронтенд к webkit, в котором еще есть почтовый клиент? -) Почему бы тогда сразу не юзать оригинал, то есть, Хромиум? /troll mode off

stevejobs ★★★☆☆ ()
Ответ на: комментарий от stevejobs

/troll mode off

Это пожалуй лишнее, ведь всё так на самом деле и есть.

ritsufag ★★★★★ ()
Ответ на: комментарий от stevejobs

Ну дык, opera сделает Chrome наконец-то более юзабельным.

Так что, я даже не против этого.

Но будет лучше, если они снова вернутся на Qt

lexxus-lex ★★★ ()
Ответ на: комментарий от Reset

Это не важно, потому что для доступа к пользовательским данным рут не нужен.

Там речь идет о полном контроле.

tazhate ★★★★★ ()

Больше на Си программируйте, и не такое будет.

Nxx ★★★★★ ()
Ответ на: комментарий от lexxus-lex

Ну дык, opera сделает Chrome наконец-то более юзабельным.

Чиво? В каком месте? Он вебкит пилят, а не хром.

tazhate ★★★★★ ()
Ответ на: комментарий от Nxx

А на чем надо программировать? На питоне чтоль?

Reset ★★★★★ ()
Ответ на: комментарий от SjZ

Пока ПО будут писать на языке, где возможны полсотни реализаций одного и того же, всегда всё будут ломать. Разве по логике вещей это не очевидно? Всё что создано человеком может быть им же и разрушено.

Пока ОС будут писать на языке с арифметикой над указателями. Так правильнее.

Nxx ★★★★★ ()
Ответ на: комментарий от SjZ

Пока ПО будут писать на языке, где возможны полсотни реализаций одного и того же, всегда всё будут ломать.

О Мой Господь,

Chrome, Firefox, IE 10, Windows 8 и Java

написаны на Perl?!!

stevejobs ★★★☆☆ ()
Ответ на: комментарий от Reset

На прологе. Во время configure он сам должен будет понять, есть ли ошибки в программе

stevejobs ★★★☆☆ ()
Ответ на: комментарий от Deleted

Вполне культурные, я же вежливость не упоминал.

Tark ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.