Показать сообщение отдельно

Re: IT-безопасность-свежие новости.
Старый 22.03.2016, 17:24   #1013
☭☭☭☭☭
 
Аватар для kroxus

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 10 607

kroxus на форуме

IT-безопасность-свежие новости.


Pwn2Own 2016: взломаны Safari с Edge и определен победитель

Финальное противостояние за титул Master of Pwn for Pwn2Own 2016 развернулось между командой Tencent Security Team Sniper (KeenLab и PC Manager) и Чонхуном Ли (JungHoon Lee), выступающим под ником lokihardt. Довольно напряженные две минуты решили исход соревнования в пользу Tencent Security Team Sniper: исследователи смогли исполнить код, воспользовавшись уязвимостью в браузере Microsoft Edge.

Второе место поделили между собой Чонхун Ли и команда 360Vulcan Team. Следующими стали хакеры из команды Tencent Security Team Shield. Претенденты сражались за титул Master of Pwn на двухдневном хакерском конкурсе Pwn2Own 2016, который прошел в рамках конференции CanSecWest и был спонсирован компаниями Hewlett Packard Enterprise, Trend Micro и Zero Day Initiative.

Общий призовой фонд $460 тыс. и общее количество баллов (98) на Pwn2Own 2016 были распределены следующим образом:

Команда Tencent Security Team Sniper (KeenLab и PC Manager): 38 баллов и $142,5 тыс.

Чонхун Ли (lokihardt): 25 баллов и $145 тыс.

Команда 360Vulcan Team: 25 баллов и $132 тыс.

Команда Tencent Security Team Shield: 10 баллов и $40 тыс

Второй день начался с двух неудачных попыток взлома Google Chrome Чонхуном Ли и Adobe Flash хакерами из Tencent Security Team Sniper. Третья попытка оказалась результативной в обоих случаях.

Участники из Tencent Security Team Sniper продемонстрировали успешную атаку на Safari, исполнив произвольный код и получив root-доступ через эксплуатацию уязвимости использования высвобожденной памяти и уязвимости обращения к несуществующим данным в Mac OS X.

Затем Чонхун Ли смог взломать Microsoft Edge, использовав ошибку инициализации переменной стека в браузере и уязвимость обхода каталога в Microsoft Windows, получив доступ системного уровня. В ходе второго дня Pwn2Own 2016 команда Tencent Security Team Sniper оторвалась от Чонхуна Ли на 13 баллов, что позволило ее участникам завоевать главный титул соревнования.

В общей сложности объединенными усилиями исследователи обнаружили 21 новую брешь: шесть из них содержались в Microsoft Windows, пять — в Apple OS X, четыре — в Adobe Flash, три — в Apple Safari, две — в Microsoft Edge. Одна уязвимость, найденная в Google Chrome, оказалась аналогична обнаруженной ранее бреши, о которой Google уже доложили. Организаторы мероприятия отметили, что в этом году исследователи нашли шесть багов ядра. «Каждая успешная атака приводила к повышению привилегий до системного или root-уровня, и это впервые в истории Pwn2Own. Этот тренд не может не вызывать беспокойство», — прокомментировал Кристофер Бадд (Christopher Budd), представитель Trend Micro.

Соревнование Pwn2Own в этом году показало, что среди вендоров лучше всех себя чувствует Google: только две из пяти попыток оказались успешными, притом об имеющихся уязвимостях уже было известно. Adobe Flash сдался в четырех случаях из пяти. Меньше всего сопротивлялись браузеры Apple Safari (все три попытки взлома увенчались успехом) и Microsoft Edge (успех в двух попытках из двух).

Источник
__________________
пусть всегда будет солнце
  Ответить с цитированием
 
Яндекс.Метрика