Участники конкурса хакеров hack2own, прошедшего вчера в Москве в рамках форума Positive Hack Days, успешно пробили защиту браузера Safari для Windows, сообщает РИА Новости.
Взлом был осуществлён при помощи так называемой "уязвимости нулевого дня", обнаруженной сотрудниками компании CISSRT. Для этого была создана специальная веб-страничка; при её открытии через "дыру" в Safari проникает вредоносный код. Точнее — псевдовредоносный, т.к. всё, что он делает, это запускает традиционный для таких случаев "Калькулятор".
По словам технического директора CISSRT Никиты Тараканова, уязвимость присутствует и в версии Safari для Mac OS X, но подготовленный для конкурса эксплойт в ней не работает: браузер просто "падает". Тараканов объясняет это различиями в принципах работы с памятью в Mac OS X и Windows.
Известно, что заявки на участие в конкурсе подавали и другие участники, но лишь вариант взлома от CISSRT оказался оригинальным и действующим. Судя по программе форума (PDF), был также запланирован конкурс по взлому "айфонов" (или же разных смартфонов), но нам пока не удалось выяснить, чем он завершился. В любом случае, очевидно, что hack2own ещё не набрал такой же популярности, как его канадский прообраз Pwn2own, который в этом году прошёл уже в пятый раз.
Впрочем, призы на hack2own были предусмотрены: хакеры из CISSRT увезли с этого состязания ноутбук Toshiba, на котором, судя по всему, и был осуществлён взлом.
Как сообщили "Вебпланете" устроители форума Positive Hack Days из компании Positive Technologies, в программе были и другие хакерские конкурсы. В частности, осуществлялись попытки взломать iPad. Представители CISSRT ещё на отборочном этапе доказали существование "дыры" в мобильном Safari, но созданный ими эксплойт работал нестабильно, и попытка взлома завершилась неудачей.
В отличие от конкурса Pwn2own, участники которого раскрывают информацию об уязвимостях нулевого дня устроителям, чтобы те сообщили о них разработчикам, у организаторов hack2own нет никаких данных о "дырах". Соответственно, узнают ли в Apple о вышеупомянутых уязвимостях или нет — целиком на совести CISSRT.
Источник: Вебпланета
|