Opět se čeká, že první padne Safari

24. 2. 2010

Sdílet

Jak se blíží nový ročník hackerské soutěže skupiny Pwn2Own, objevují se i první spekulace o tom, jaké produkty podlehnou nejrychleji. Většina tipuje Safari. A co v případě smartphonů?

O chystaném letošním ročníku konference viz také: TippingPoint rozdělí mezi hackery 100 000 dolarů

Safari bylo hlavním kandidátem už loni a tento tip se tehdy potvrdil dokonale. Známý bezpečnostní výzkumník Charlie Miller prolomil zabezpečení notebooku s MacOS X a Safari už za několik sekund (viz také MacOS X se Safari padl za pár vteřin, nepřežil ani Internet Explorer 8).

Co se týče letošního ročníku, jeden z organizátorů soutěže Aaron Portnoy z TippingPointu tvrdí, že hlavní příčinou „prvenství“ Safari nebudou nutně kvality samotného prohlížeče, ale to, že Safari bude testováno na systému Snow Leopard, zatímco Internet Explorer, Firefox a Chrome budou první den spuštěny na Windows 7. Portnoy se domnívá, že rozdíl zde existuje především na úrovni zabezpečení operačních systémů.

Samotný Charlie Miller se pokusí i letos zopakovat své úspěchy z posledních dvou let a ukázat zranitelnosti Safari do třetice. S Portnoyem ale nesouhlasí a svým úspěchem si podle amerického Computerworldu není jistý. Předně, Snow Leopard obsahuje podle Millera jako první systém od Applu a podobně jako nová Windows ochranu před spouštěním kódu DEP (Data Execution Prevention). Na nedávné konferenci BlackHat bylo navíc předvedeno, jak lze ochranný mechanismus DEP ve Windows 7 obejít. Miller ovšem dodává, že podle jeho názoru by Safari mohlo být zranitelné přes plug-iny typu přehrávače Flash nebo Readeru PDF. Celkově odhaduje, že Safari padne, a spolu s ním další 1-2 prohlížeče, některé ale odolají (loni takto obstál Google Chrome).

Portnoy naopak tipuje, že první den se nepodaří prolomit žádný z prohlížečů spuštěných na Windows 7. Zneužít zranitelnosti v DEP a ASLR (address space layout randomization) je podle něj příliš obtížné. Není si jist, jaké prohlížeče selžou už na Windows Vista a jaké až na Windows XP, zde ale odhaduje, že všechny a odměny budou vyplaceny v plné výši.

bitcoin školení listopad 24

Co se týče vlámání do smartphonů, Portnoyovým kandidátem na první průnik je iPhone – právě proto, že i na něm běží Safari. Miller naopak soudí, že u mobilních telefonů se stejně jako loni nikomu úplný exploit nepodaří. Miller v minulosti již dokázal najít také zranitelnosti v iPhonu i v systému Google Android.