Internet Explorer 8 уже взломан
- 20.03.09, 15:00
- Мой компьютер
С момента выхода финальной версии браузера Internet Explorer 8 прошло
менее суток, а между тем в браузере уже была обнаружена первая проблема
безопасности кода. На проходящей ИТ-конференции PWN2OWN, организованной
компанией 3Com, участник, известный под ником Nils, смог обойти систему
безопасности браузера и похитить с тестового компьютера заданный
организаторами файл.
За свои "достижения" немецкий участник получил объявленный приз - 5000 долларов и новый ноутбук Sony Vaio.
По словам представителей компании 3Com, на тестовом компьютере была
установлена последняя доступная сборка операционной системы Windows 7 и
финальная версия браузера на английском языке. Сам Nils говорит, что в
случае с IE8 сработал ранее написанный им эксплоит под IE7.
"Важно, чтобы Microsoft понимала, что проблемы были и остаются. Бывают случаи,
когда выход нового продукта из-за критических багов можно было бы и
отложить. Корпорации необходимо изучить эту проблему и устранить ее", -
говорят в 3Com.
"Мы проводили испытания в совершенно реальных условиях, на взлом системы безопасности браузера у участника ушло около 5 минут", - сообщают организаторы. По их словам, детали и код эксплоита были переданы сразу после взлома Майку Риви, операционному менеджеру Microsoft Security Research Center.
В корпорации Microsoft пока никак не прокомментировали новую уязвимость, сославшись на то, что
технические специалисты изучают проблему.
Однако, справедливости ради, стоит заметить, что на взломе IE8 Nils не остановился. После этого, он опять-таки при помощи написанных им эксплоитов взломал системы защиты браузеров Safari и Firefox. В итоге, с конференции молодой человек уехал с 15 000 долларов, а разработчики браузеров - с мыслями о надежности своих разработок.
PS: чувак использовал зеро-дэй эксплойты (т.е. такие, которые не были известны широкой обшественности и компаниям-разработчикам программных продуктов) - вот это я понимаю домашняя работа на 15 штук баксов! Замечу, что код этих эксплойтов передан компаниям-разработчикам браузеров (и больше никому пока что), так что ждите новый ФФ со дня на день.
Чтобы вы понимали серьезность проблемы: чувак просто создал сайт, страничку на котором открыли последней, самой пропатченной версией браузера. В результате открытия чувак получил полный контроль над компьютером.
Что касается Оперы, то на неё даже никто не смотрел. Нет смысла ставить в программу соревнований браузер, рыночная доля которого в районе 1% (это в мире).
Ссылка
UPDATE: ссылка на сайт конкурса PWN2OWN: http://dvlabs.tippingpoint.com/blog/2009/02/25/pwn2own-2009
менее суток, а между тем в браузере уже была обнаружена первая проблема
безопасности кода. На проходящей ИТ-конференции PWN2OWN, организованной
компанией 3Com, участник, известный под ником Nils, смог обойти систему
безопасности браузера и похитить с тестового компьютера заданный
организаторами файл.
За свои "достижения" немецкий участник получил объявленный приз - 5000 долларов и новый ноутбук Sony Vaio.
По словам представителей компании 3Com, на тестовом компьютере была
установлена последняя доступная сборка операционной системы Windows 7 и
финальная версия браузера на английском языке. Сам Nils говорит, что в
случае с IE8 сработал ранее написанный им эксплоит под IE7.
"Важно, чтобы Microsoft понимала, что проблемы были и остаются. Бывают случаи,
когда выход нового продукта из-за критических багов можно было бы и
отложить. Корпорации необходимо изучить эту проблему и устранить ее", -
говорят в 3Com.
"Мы проводили испытания в совершенно реальных условиях, на взлом системы безопасности браузера у участника ушло около 5 минут", - сообщают организаторы. По их словам, детали и код эксплоита были переданы сразу после взлома Майку Риви, операционному менеджеру Microsoft Security Research Center.
В корпорации Microsoft пока никак не прокомментировали новую уязвимость, сославшись на то, что
технические специалисты изучают проблему.
Однако, справедливости ради, стоит заметить, что на взломе IE8 Nils не остановился. После этого, он опять-таки при помощи написанных им эксплоитов взломал системы защиты браузеров Safari и Firefox. В итоге, с конференции молодой человек уехал с 15 000 долларов, а разработчики браузеров - с мыслями о надежности своих разработок.
PS: чувак использовал зеро-дэй эксплойты (т.е. такие, которые не были известны широкой обшественности и компаниям-разработчикам программных продуктов) - вот это я понимаю домашняя работа на 15 штук баксов! Замечу, что код этих эксплойтов передан компаниям-разработчикам браузеров (и больше никому пока что), так что ждите новый ФФ со дня на день.
Чтобы вы понимали серьезность проблемы: чувак просто создал сайт, страничку на котором открыли последней, самой пропатченной версией браузера. В результате открытия чувак получил полный контроль над компьютером.
Что касается Оперы, то на неё даже никто не смотрел. Нет смысла ставить в программу соревнований браузер, рыночная доля которого в районе 1% (это в мире).
Ссылка
UPDATE: ссылка на сайт конкурса PWN2OWN: http://dvlabs.tippingpoint.com/blog/2009/02/25/pwn2own-2009
9
Коментарі
Гість: Romanticism
120.03.09, 15:05
Я Мазилой пользуюсь
хакер этот
А вообще шустрый он...
Гість: ZloyBober
220.03.09, 15:09
Да какая разница,какова рыночная доля Оперы,это самый нормальный браузер.Эксплорер тупо пиарят,всеми возможными средствами ( и невозможными) ибо это разработка Майкрософта и кстати полный отстой в любой версии.
Гість: djeromo
320.03.09, 15:10
Ух ты ! И что -же теперь делать ?
nissal
420.03.09, 15:13
можна, я не буду коментувати, щоб не матюкатись?
а взагалі, дякую за статтю - веселюся 
GT
520.03.09, 15:18
Кстати тест то кривоват какбе
Какой антивирь стоял? какой фаервол?
Или они "голой сракой в муравейник" ткнули?
Все как всегда куплеено
kykypy3ka
620.03.09, 15:24
та ладно шустрый дыры теже самые из 7 експлорера
fire_mage
720.03.09, 15:25Відповідь на 5 від GT
Поддерживаю, без информации о условиях теста нельзя получить достоверный данные... Например интересен тот бекдор которым воспользовался хацкер.
fire_mage
820.03.09, 15:26Відповідь на 6 від kykypy3ka
Дыры могут быть и не в браузере.
GT
920.03.09, 15:30Відповідь на 7 від fire_mage
Кстати ИЕя так понимаю под виндой был, ФФ под Линукс? а Сафари под Мак? И он все сломал?
Или ломал виндовые версии?
анонім
1020.03.09, 15:32Відповідь на 7 від fire_mage
угу, так тибе и сказали