פורצים חדרו לאינטרנט אקספלורר 9 בתחרות ההאקרים Pwn2Own

הפורצים, נציגי חברת האבטחה הצרפתית Vupen Security, איתרו שתי פרצות בדפדפן - אחת מסוג גלישת מאגר ושנייה שנתגלתה במצב המוגן שלו ● עם זאת, הם הבטיחו למסור פרטים רק לגבי אחת מהן ● השנה אף נפרץ דפדפן כרום, לאחר שבשנתיים הקודמות איש לא הצליח לעשות זאת

אחרי שבשנה שעברה נפרצו במסגרת תחרות ההאקרים Pwn2Own לפרוץ את אינטרנט אקספלורר 8 (Internet Explorer 8), ספארי (Safari) ומכשירי iPhone ובלקברי (Blackberry), השנה הצליחו משתתפים בתחרות לחדור לגרסה 9 של הדפדפן מבית מיקרוסופט (Microsoft).

התחרות נערכה במסגרת ועידת האבטחה השנתית CanSecWest בוונקובר שבקנדה. הפורצים, נציגים של חברת האבטחה הצרפתית Vupen Security, הצליחו לפרוץ את אינטרנט אקספלורר 9 (9 Internet Explorer) במערכת ההפעלה Windows 7 SP1 64 ביט של מיקרוסופט. מהחברה נמסר, כי נציגיה הצליחו לנצל שתי פרצות שעדיין לא הוטלאו על מנת לעקוף את המצב המוגן של הדפדפן.

אחת הפרצות שנוצלה על ידי אנשי החברה היא מסוג גלישת מאגר וקיימת באינטרנט אקספלורר מגרסה 6 ועד גרסה 10. "זו הייתה משימה קשה משום שפרצות מסוג גלישת מאגר הן נדירות למדי" אמר צ'אוקי בקרר, מנכ"ל Vupen. "עם זאת, ברגע שמצליחים לנצל אותן אפשר לעקוף את מנגנון ASLR (שמשמש להסוואת הקוד הנחוץ לביצוע מתקפות)".

הפרצה השנייה שנוצלה על ידי אנשי Vupen Security נתגלתה במצב המוגן ("ארגז החול") של הדפדפן, והיא זו שסללה את הדרך לניצול הפרצה מסוג גלישת מאגר. מחברת Vupen Security, שעוסקת במכירת מידע על פרצות, נמסר כי הפרטים על הפרצה מסוג גלישת מאגר יימסרו לאנשי TippingPoint  של HP, שמפעילים את פרויקט Zero Day initiative שמעניק חסות לתחרות Pwn2Own, אך הפרטים על הפרצה השנייה יפורסמו רק ללקוחות של Vupen Security.

לדברי בקרר, שני עובדים של החברה הקדישו שישה שבועות לאיתור פרצות שניתן יהיה לנצל במסגרת תחרות ההאקרים, ואכן – המאמץ שהשקיעו בחברה השתלם, ואנשיה הצליחו לפרוץ גם את דפדפן כרום (Chrome). זאת לאחר שבשנתיים הקודמות שבהן נערכה התחרות איש לא הצליח לפרוץ את הדפדפן של גוגל (Google), ועובדה זו הוסברה בעוצמה הגבוהה של "ארגז החול" שבבסיס הדפדפן.

גוגל, מצידה, הפסיקה לפרוש את חסותה על התחרות לאחר שהכללים שונו והמתחרים אינם חייבים עוד למסור מידע על הפרצות שניצלו כדי לפרוץ לדפדפנים. כתחליף הכריזה גוגל על תחרות האקרים משלה בשם Pwnium, שבמסגרתה מוענקים פרסים בסכום כולל של מיליון דולרים, ובכלל זה פרס בסכום של 60 אלף דולרים למי שיצליח לנצל באגים בדפדפן כרום כדי להפעיל קוד זדוני. בתחרות זו חייבים, כמובן, למסור מידע מלא על הפרצות שנוצלו לחברת גוגל.

תגובות

(1)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

  1. שיוש

    איך מורידים את האינטרנט אקספלורר 10 ?????????????????????????????????????

אירועים קרובים