Хакеры взломали браузеры Internet Explorer и Safari на конкурсе
11 марта 2011 года

Последние версии браузеров Microsoft Internet Explorer и Apple Safari взломаны в рамках хакерского конкурса pwn2own, проходящего на конференции по безопасности CanSecWest в канадском Ванкувере, сообщает издание Information Week. Два других популярных браузера - Google Chrome и Mozilla Firefox, принимавших участие в конкурсе, взломаны не были.

Участникам конкурса с помощью специально подготовленных веб-страниц удалось перехватить управление удаленными компьютерами с полностью обновленными браузерами Internet Explorer 8 и Safari 5. Атаки на Google Chrome 10 и Mozilla Firefox 3, взлом которых также входил в программу соревнований, не состоялись: заявленные участники отменили демонстрацию своих приемов (возможно, из-за вышедших в преддверии конкурса пакетов исправлений для браузеров, закрывших намеченные хакерами к использованию уязвимости).

Взлом Apple Safari был проведен специалистами французской компании VUPEN, а успешную атаку на Internet Explorer осуществил ирландский эксперт по информационной безопасности Стивен Фьюер (Stephen Fewer).

Скомпрометированные браузеры Internet Explorer и Safari работали под управлением последних версий операционных систем с установленными обновлениями - Windows 7 Service Pack 1 и Mac OS X 10.6.6, соответственно.

В качестве критерия успешности атаки применялось выполнение произвольной команды (например, запуск программы) и запись файла на диск на удаленном компьютере. Уже через 5 секунд после того, как в запущенном на MacBook браузере Safari была открыта подготовленная специалистами VUPEN веб-страница со специальным кодом, на жестком диске ноутбука оказался тестовый файл, а на экране открылось окно встроенной программы-калькулятора, пишет издание Ars Technica. Выполнение произвольных команд и операций с файлами было произведено в обход механизмов защиты, встроенных в браузеры и операционные системы.

В преддверии конкурса компании Apple, Google и Mozilla выпустили пакеты обновлений для своих браузеров. Обновление для Safari до версии 5.0.4, вышедшее в день начала конкурса, 9 марта, закрывает более 60 уязвимостей. В новом релизе Chrome, выпущенном 8 марта, устранено 25 брешей, а в версии Firefox 3.6.14 от 1 марта было закрыто десять уязвимостей в системе безопасности. Microsoft предпочла не выпускать специальных патчей для Internet Explorer в преддверии конкурса.

Пятый ежегодный конкурс pwn2own проходит с 9 по 11 марта в Ванкувере (Канада) в рамках конференции по информационной безопасности CanSecWest.

На прошлогоднем конкурсе были скомпрометированы Internet Explorer, Firefox и Safari; против Chrome, как и в этот раз, успешной атаки проведено не было.

На втором этапе хакерских соревнований, посвященном взлому мобильных устройств, участникам удалось скомпрометировать смартфоны Apple iPhone и RIM BlackBerry.