IE9 poległ w Pwn2Own jako drugi, Chrome jako pierwszy

[forest 7041]

W??a??nie trwa turniej hakerski we w??amywaniu siÄ? na komputery przez przeglÄ?darkÄ? na czas â?? Pwn2Own. We wtorek zawodnikom podda?? siÄ? Chrome, a dzi?? â?? Internet Explorer 9 na â?žnajlepiej zabezpieczonej wersji Windowsa, jaka dotychczas zosta??a wydanaâ? â?? Windowsie 7 SP1.

 

Pierwszego dnia konkursu dru??yna haker??w z Francuskiego Vupen Security wykorzysta??a nieznanÄ? wcze??niej lukÄ? w najnowszej wersji przeglÄ?darki Chrome. Obej??cie zabezpiecze?? przeglÄ?darki zajÄ???o Francuzom oko??o godziny. Chaouki Bekrar, CEO Vupen Security, przyzna??, ??e od poczÄ?tku jego dru??yna siÄ? na to nastawia??a i przyjecha??a na zawody z konkretnym celem: pokazaÄ?, ??e Chrome nie jest niezniszczalny. ?šroda w og??le okaza??a siÄ? szczeg??lnie niekorzystna dla przeglÄ?darki firmy Google. W Vancouver r??wnolegle odbywa?? siÄ? konkurs sponsorowany przez Google â?? Pwnium â?? w ramach konferencji CanSecWest. Google zaoferowa?? nagrody o ??Ä?cznej warto??ci 1 miliona dolar??w hakerom, kt??rzy wykorzystajÄ? luki w Chrome aby przejÄ?Ä? kontrolÄ? nad maszynÄ? z Windowsem 7. Na pierwsze efekty r??wnie?? nie trzeba by??o d??ugo czekaÄ?.

 

Aby przejÄ?Ä? kontrolÄ? nad laptopem z Windowsem 7 SP1, ta sama dru??yna haker??w wykorzysta??a dwie nieznane wcze??niej luki w Internet Explorerze 9. Podobnie, jak w przypadku Chrome'a, aby z??amaÄ? zabezpieczenia IE9, uczestnicy konkursu musieli wydostaÄ? siÄ? poza odizolowanÄ? od systemu piaskownicÄ?. Wed??ug Bekrara IE9 by?? ??atwiejszy do pokonania, ni?? Chrome. Zastosowany w konkursie exploit podobno dzia??a r??wnie?? na innych wersjach Internet Explorera, w tym na becie IE10 dla Windowsa 8.

 

Jak pokaza?? konkurs, zaprojektowany przez Microsoft Protected Mode ma problemy z zarzÄ?dzaniem pamiÄ?ciÄ? i jest mniej restrykcyjny, ni?? analogiczna piaskownica w Chrome. Jednak Francuzi zaznaczajÄ?, ??e dziesiÄ?ty Internet Explorer na Windowsie 8 jest pod tym wzglÄ?dem sporo lepszy. WyglÄ?da na to, ??e zesp???? Berkaka zna siÄ? na rzeczy â?? na swoim koncie majÄ? r??wnie?? pwalenie IE8 i Firefoksa 3 na Windowsie XP i Safari 5 na Snow Leopardzie i ??yjÄ? ze sprzedawania exploit??w. Warto dodaÄ?, ??e Chrome od lat cieszy?? siÄ? reputacjÄ? niez??amanej przeglÄ?darki na Pwn2Own. Po czÄ???ci odpowiedzialna za to jest w??a??nie trudna do obej??cia piaskownica, a po czÄ???ci brak zainteresowania produktem firmy Google.

[forest 7041]

Osoby, kt??re uwa??ajÄ? przeglÄ?darkÄ? firmy z Redmond za najgorzej zabezpieczone narzÄ?dzie do przeglÄ?dania internetu bÄ?dÄ? mia??y kolejny argument. Podczas tegorocznych zawod??w Pwn2Own w Vancouver francuscy hakerzy pokonali IE za pomocÄ? â?? uwaga â?? 10 letniej dziury.

 

Zadanie polega??o na w??amaniu siÄ? do systemu Windows 7 przy wykorzystaniu luku w 9 wydaniu przeglÄ?darki. Hakerzy z grupy VUPEN wykonali zadanie bezb??Ä?dnie. TÄ? samÄ? lukÄ? wykorzystali w IE 10 w Windows 8 Consumer Preview. Co gorsza, okaza??o siÄ?, ??e dziura obecna jest r??wnie?? w starszych wydaniach przeglÄ?darki â?? r??wnie?? w IE 6, kt??ry ma ponad 10 lat.

 

LukÄ? wykorzystano, aby obej??Ä? zabezpieczenia typu DEP i ASRL i doprowadziÄ? do wycieku pamiÄ?ci. W ten spos??b hakerom uda??o siÄ? sprawnie obej??Ä? tryb chroniony, kt??ry ma zabezpieczaÄ? IE 9 przed atakami. Jak powiedzieli hakerzy z VUPEN (za ZDNet), odkryciem luki zajmowa??o siÄ? dwoje ludzi pracujÄ?cych przez oko??o 6 tygodni.

 

WyglÄ?da wiÄ?c na to, ??e in??ynierowie z Redmond przez ponad 10 lat nie??wiadomi byli powa??nej dziury obecnej w swojej przeglÄ?darce. Mimo wszystkich najnowszych zabezpiecze??, IE okaza?? siÄ? do??Ä? ??atwy do pokonania. Co wiÄ?cej, jak powiedzia?? Chaouki Bekrar, wsp????za??o??yciel VUPEN, jego zesp???? przy okazji znalaz?? sporo innych luk w trybie chronionym IE.