חוקרים פרצו לספארי, IE8, פיירפוקס ו-iPhone
החוקרים זכו בפרסים כספיים בסך אלפי דולרים במסגרת תחרות Pwn2Own ● ספארי נפרץ על גבי מערכת ההפעלה Snow Leopard ואילו אקספלורר 8 ופיירפוקס נפרצו על גבי חלונות 7
במסגרת התחרות השנתית Pwn2Own, שמתקיימת כחלק מוועידת האבטחה CanSecWest שנערכת השבוע בוונקובר שבקנדה, הדגימו חוקרים פריצה למכשיר iPhone, דפדפן ספארי (Safari) במערכת ההפעלה Snow Leopard, ודפדפני אינטרנט אקספלורר 8 (Internet Explorer 8) ופיירפוקס (Firefox) במערכת ההפעלה חלונות 7 (Windows 7).
צ'רלי מילר, אנליסט אבטחה ראשי בחברת Independent Security Evaluators, זכה בפרס של 10,000 דולרים לאחר שפרץ לדפדפן ספארי במחשב MacBook Pro של אפל (Apple) ללא גישה פיזית למחשב. בשנה שעברה זכה מילר בפרס של 5,000 דולרים לאחר שניצל פרצה בדפדפן ספארי, ובשנת 2008 הוא גרף פרס של 10,000 דולרים על פריצה למחשב MacBook Air.
פיטר וורוגדנהיל, חוקר אבטחה עצמאי מהולנד, זכה בפרס של 10,000 דולרים על שימוש בפרצה שגילה כדי לעקוף מנגנוני אבטחה ב-IE 8. זוכה נוסף בפרס של 10,000 דולרים הוא נילס (זה שמו הפרטי; הוא סירב למסור שם משפחה), מנהל מחקר בחברת MWR InfoSecurity מבריטניה, אשר פרץ לדפדפן פיירפוקס. כסטודנט למדעי המחשב באוניברסיטת אולדנבורג בגרמניה הוא זכה בשנה שעברה בפרס של 15,000 דולרים על גילוי פרצות בדפדפנים IE 8, ספארי ופיירפוקס.
לבסוף, רלף פיליפ וויינמן מאוניברסיטת לוכסמבורג, וכן וינצנזו לוצו מהחברה הגרמנית זיינמיקס, פרצו למכשיר iPhone וחלקו בפרס של 15,000 דולרים. מאחר ולוצו התעכב בדרכו לאירוע קיבל את הפרס בשמו עמיתו לעבודה בחברת זיינמיקס, תומס דוליין, המכונה בקהילת האבטחה Halvar Flake – נמסר מפרויקט Zero Day Initiative של חברת TippingPoint, אשר העניקה את חסותה לתחרות.
מילר סירב למסור פרטים על הפרצה שניצל כדי לפרוץ לדפדפן ספארי, אך גילה כי המחשב נפרץ בעקבות ביקור באתר אינטרנט שהושתל בו קוד עוין. "הפעלתי במחשב מעטפת אינטראקטיבית שאפשרה לי לבצע כל פקודה מבוקשת", אמר מילר. "מדובר במחשב שהותקנו בו כל הטלאים ששוחררו". מילר כתב את הקוד לניצול הפרצה תוך פחות משבוע. "הקוד אמין מאוד", אמר. "חלק מהחוקרים ציינו שמדובר בקוד 'טעון', כלומר שהוא פועל תמיד".
כדי לפרוץ לדפדפן IE 8, מספר וורוגדנהיל, הוא ניצל שתי פרצות במתקפה בת ארבעה חלקים, שגם היא התבססה על ביקור באתר אינטרנט שהושתל בו קוד עוין. במסגרת הפריצה נהנה וורוגדנהיל מהרשאות מלאות במחשב המותקף, וכדי להוכיח זאת הוא הפעיל את המחשבון של מערכת ההפעלה. נילס, מצידו, סיפר כי ניצל פרצה בזיכרון של המחשב ונקודת תורפה בדפדפן של מוזילה (Mozilla).
תגובות
(0)