תחרות Pwn2Own של השנה נגמרה והנה התוצאות
כרגיל, הקופה הייתה מחשבים וכסף והמטרות היו דפדפנים ומערכות הפעלה. zdnet פרסמו כל מיני כתבות משם אבל מה שעניין אותי זה הראיון עם מי שפתח את הסאפארי על המק (גם Tom’s Hardware ראיינו אותו).
דבר ראשון, הדבר שמשך אותי (תוך כדי שאני מתפלץ) הוא שהוא אמר שהוא השתמש מבאג שהוא מצא בשנה שעברה. לתחרות של שנה שעברה הוא הגיע עם שני באגים אבל מכיוון שהיה אפשר לזכות רק פעם אחת הוא ניצל רק אחד מהם ושמר את השני להשנה.
דבר שני, הוא אומר כמה דברים על אבטחה שמאוד מעניינים:
– לפרוץ לדברים במק הרבה יותר קל (עוד משהו לדחוף לחובבי המק בפרצוף). חלונות אימצה הרבה תכונות נגד ניצולים והם בהחלט למדו. לנצל דברים בחלונות זה קשה.
– למצוא באג ולנצל אותו זה לא אותו הדבר. אבטחה השתפרה וקשה למצוא באגים אבל הרבה יותר קשה לנצל אותם.
– שואש לחלונות הוא בין המטרות הקשות ביותר שיש (Hooray for us!).
– היחיד שנשאר עומד בסוף התחרות היה Chrome.
– היתרון של Chrome הוא גם טכניקות אנטי-ניצול עצמיות, גם יתרונות של מערכת ההפעלה וגם מצב ‘ארגז החול’ ש-Chrome מריץ שמבודד את הדברים שהוא מריץ. הבן-אדם אומר שהוא מצא באג ב-Chrome אבל עדיין לא דרך לנצל אותו.
אבטחה זה נושא מעניין.
Posted in Less Interesting News by Eran with comments disabled.