גם IE10 בחלונות 8 נפרץ ב-PWN2OWN

אחרי כרום, נפלו כעת IE9 על כל ההגנות שלו ואיתו גם IE10, בגרסה החדשה ביותר על גבי חלונות 8. תחרות ה-PWN2OWN מתחממת

מקור: תמונות מסך מערוץ הטוויטר של התחרות ומאתר IE10, עיבוד תמונה

הקבוצה הצרפתית שהצליחה לפרוץ את הדפדפן הפופולרי גוגל כרום, עשתה זאת שוב, והפעם הפילה לקרשים את אינטרנט אקספלורר.

על הכוונת היה הדפדפן בגרסה 9, אך הקבוצה הוכיחה כי zero-day exploits מלוות את הדפדפן של מיקרוסופט כל כך הרבה זמן, שניתן באמצעותן לפרוץ את כל גרסאות הדפדפן מ-IE6 ועד לגרסה האחרונה של IE10 על גבי הגרסה העדכנית ביותר של חלונות 8.

הצלחה רודפת הצלחה

VUPEN, הקבוצה המצליחה, מורכבת ממספר חוקרי אבטחת מידע. החברה התכוננה לתחרות PWN2OWN במשך מספר שבועות, כאשר את חלק מהדרכים שלהן לנצל את ה-exploits היא פיתחה במיוחד לתחרות. אחד הדברים המעניינים בחולשות שהן גילו, היא שהם מצאו דרך לנצל אותן כמעט ללא מעורבות של הגולש – כל שעל הגולש לעשות כדי שהדפדפן ייפרץ הוא לגלוש לאתר המכיל קוד זדוני שהוכן מראש, וזהו. אין צורך ללחוץ על קישור, או כל דבר נוסף אחר.

בשנים האחרונות תחרות ה-PWN2OWN הפכה לאחד מהמוקדים המעניינים של עולם אבטחת המידע. במסגרת התחרות עומדים למבחן הדפדפנים הפופולריים בעולם, וחלק מטובי המוחות משתמשים בתחרות כדי למתג את עצמם כאלו שהצליחו למצוא חולשות, ולפרוץ דפדפנים. אחד השיאים של התחרות הזאת הגיע אמש, כאשר אותה קבוצה, VUPEN, היתה הקבוצה הראשונה שהצליחה לפרוץ לדפדפן הפופולרי של כרום.

עד להודעה האחרונה, גוגל נהנתה מכך שבתחרות הזאת במשך מספר שנים מאז שיצא הדפדפן לאוויר העולם, עדיין לא הצליחו לפרוץ אותו. אחד ההבדלים שהעלו את המוטיבציה לפריצה השנה, היא ההצעה של גוגל עצמה לפרס של מיליון דולרים למי שיצליח לפרוץ את כרום במהלך הימים שלפני התחרות.

מרוויחים מכאן ומכאן

בפועל, לגוגל אין כל כך מה להפסיד, שכן בעקבות חשיפת החולשות היא תוכל להתמקד בלהפוך את הדפדפן שלה לטוב עוד יותר, על-ידי כך שתחסום את הפריצה. אותו העקרון פועל גם לגבי מיקרוסופט. כמו גוגל לפניה, גם למיקרוסופט יש אינטרס לראות את הדפדפן שלה עומד למבחן, ולראות כיצד אנשים שונים, מגישות שונות, מנסים לנצל אותו ולפרוץ אותו. עם גילוי הדרכים החדשות, מהנדסי החברה יכולים לקחת לתשומת ליבם ולהפוך אותו לדפדפן טוב יותר.

את סטטוס הנקודות של הקבוצות השונות בתחרות ה-PWN2OWN ניתן למצוא כאן.

נדב דופמן-גור

עו"ד העוסק בתחומי דיני הטכנולוגיה, דיני פרטיות וקניין רוחני. מרצה ומנטור לסטארטאפים, ובעל ניסיון רב-שנים בפיתוח ווב (http://about.me/nadavdg).

הגב

2 תגובות על "גם IE10 בחלונות 8 נפרץ ב-PWN2OWN"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
קרטמן
Guest

אם במיקרוסופט לומדים מבעיות האבטחה למה עדיין (כמו שכתוב בכתבה) יש חורים מגירסה 6 עד 10?

דן
Guest

קרטמן-
כי בכל תוכנה יכולות להיות פרצות אבטחה ואין דבר כזה 100% שאין. תמיד יהיה איזה האקר שיחשוב על איזה מקרה קצה שהמפתח לא חשב עליו, ובהתחשב בעובדה שלרוב לא כותבים מאפס גרסאות חדשות של תוכנות, לעיתים מוצאים פרצות בחלקי קוד שקיימים כבר מגרסה מאוד ישנה ולא השתנו מאז (ידעת שב-Windows 7 יש עוד לא מעט קוד מ-Windows NT 3.5?). נכון שזה לא מאוד נפוץ כי ככל שקוד מסויים קיים יותר זמן ככה היה יותר זמן לחפש בו פרצות אבל זה קורה וזה ימשיך לקרות.
במילים אחרות, אל תכבה את ה-Windows Update שלך.

וכן, זה יכול לקרות (וקורה) גם בלינוקס.

wpDiscuz

תגיות לכתבה: