Pwn2Own: Hackeři jako první prolomili Safari a Internet Explorer

Hackerské klání Pwn2Own začalo včera odpoledne ve Vancouveru a potrvá až do pátku. Prvními výherci částky 15 000 dolarů a nového MacBooku Air jsou členové týmu francouzské bezpečnostní společnosti Vupen, kteří exploitovali zranitelnost v Safari. Apple sice těsně před začátkem soutěže stihl ještě aktualizovat svůj browser na verzi 5.0.4, která opravuje celých 62 zranitelností, ale tu hackeři neměli ještě k dispozici a útočili na předchozí verzi. Safari 5.0.4 bylo uvolněno Apple společně s mobilním operačním systémem iOS 4.3.

Bezpečnostní společnost HP TippingPoint, která klání hackerů sponzoruje, potvrdila, že v soutěži jsou používány prohlížeče „zmrazené“ před dvěma týdny. Hackeři tedy neměli k dispozici ani nový Chrome 10, jenž byl vydán tento týden, ale jen předchozí verzi 9. Vydání nové verze Safari doslova pár minut před začátkem Pwn2Own mohlo ovlivnit, kdo získá peněžitou výhru, protože podle Petera Vreugdenhila z HP TippingPointu může tým Vupenu o svoji výhru ještě přijít, pokud se ukáže, že jím využitá zranitelnost je již v Safari 5.0.4 opravena. Vreugdenhil říká, že tvorba exploitů mnohdy záleží na konkrétní verzi produktu, což je důvod, proč byly použity ty verze, které byly k dispozici před dvěma týdny.

Hackeři jsou ale přesvědčeni, že i přes aktualizaci Applu zůstala v Safari stále exploitovatelná místa. Pokud se ale ukáže, že zranitelnost používá Vupenem je již opravena, peněžitou cenu a MacBook Air dostane první hacker, kterému se podaří exploitovat zranitelnost v Safari 5.0.3, která nebyla aktualizací odstraněna.

Zbylé webové prohlížeče, tedy Chrome 9 a také Firefox 3.6, zatím hackerům odolaly. Ale ti do pátku budou mít ještě řadu příležitostí pokusit se jejich zabezpečení překonat. Například Google svému Chrome věří natolik, že se vsadil, že se jej nepodaří prolomit a pokud by se to někomu podařilo, získá ke standardní ceně pro vítěze (zmíněných 15 000 dolarů) navíc jako bonus i dalších 20 000 dolarů od Googlu. Více najdete v článku Google se vsadil, že nelze prolomit ochranu browseru Chrome.