Společnost TippingPoint uspořádala souěž Pwn to Own, mediálně vděčnou akci, v rámci které měli hackeři zkusit vzdáleně získat kontrolu nad třemi notebooky: jeden byl s MacOS X, na jednom byly spuštěny Windows Vista se Service Packem 1 a na jednom Ubuntu Linux.
MacBookAir padl jako první vzhledem ke zranitelnosti v prohlížeči Safari. Windows Vista vydržely déle, ale nakonec došlo k prolomení díky chybě v přehrávači Flash. V obou případech šlo o zranitelnosti typu zero-day, pro něž dosud nebyla k dispozici oprava. Tipping Point za obě zranitelnosti v rámci svého programu autorům exploitů zaplatila (10 a 5 tisíc dolarů). Exploity nebyly zveřejněny, TippingPoint je reportovala výrobcům a chrání proti nim své vlastní zákazníky.
Pořádající firma se však domnívá, že na základě akce nelze o bezpečnosti jednotlivých operačních systémů nic moc říci. Chyba v Adobe Flash by mohla být zneužitelná i na Linuxu, nikdo z účastníků soutěže však příslušný exploit nevytvořil („Linux ignored, not immune“, praví se doslova).
Zdroj: Computerworld.com
Poznámky:
- Firma TippingPoint, která soutěž pořádala, spadá pod 3Com. I to je jeden z důvodů námitek proti přechodu 3Comu do čínských rukou. TippingPoint totiž přímo obchoduje se zranitelnostmi v softwaru.
Viz také:
Číňané zřejmě 3Com nekoupí
Obchodník se zranitelnostmi softwaru zavřel krám
- V obou případech prolomení šlo o zranitelnosti ne přímo operačního systému, ale aplikací (v případě Windows Vista a Flash navíc aplikace třetí strany). Nicméně to, jak operační systém s aplikací zachází, ukazuje i na jeho (ne)bezpečnost. Napadat systém pomocí chyby v klientské aplikaci je v poslední době oblíbená metoda útočníků – hlavním terčem bývají vzhledem ke své rozšířenosti Internet Explorer, Microsoft Word, Firefox a Adobe Reader.
Soubor v Excelu ohrožuje uživatele, kteří neaktualizují
Soubor ve Wordu může spustit nebezpečný útok
Dávka oprav pro Firefox: 5 z 10 chyb kritických
PŘEDPLATNÉ
ČLÁNKY DO MAILU