Trình duyệt Safari của Apple và Internet Explorer 8 của Microsoft đã không gặp may khi trở thành những “nạn nhân” đầu tiên của các hacker ngay trong ngày khai mạc của cuộc thi hack máy tính Pwn2Own 2011.

 

Cuộc thi bảo mật Pwn2Own năm nay đã chính thức được khởi động tại Hội nghị bảo mật CanSecWest đang diễn ra tại Vancouver, British Columbia từ ngày 9 đến 11/3.

Một nhóm đến từ công ty bảo mật Vupen (Pháp) đã giành được 15.000 USD và một chiếc MacBook Air mới sau khi khai thác thành công một lỗ hổng chưa được vá trên trình duyệt Safari.

Trước đó, Apple đã nâng cấp Safari lên phiên bản 5.0.4, sửa chữa đến 64 lỗ hổng. Tuy nhiên, Vupen vẫn có thể “hạ bệ” được trình duyệt này.

Điều đáng nói, Safari chỉ có thể trụ vững… 5 giây trước khi bị Vupen hack thành công.

“Apple chỉ mới phát hành Safari 5.0.4 và iOS 4.3 được vài phút trước khi diễn ra cuộc thi Pwn2Own”, Vupen cho biết trên trang Twitter của mình vài giờ trước khi cuộc thi bắt đầu “Họ đã vá một số lỗi nhưng chưa phải là tất cả”.

Các sản phẩm của Apple vẫn còn quá "mong manh" trước tin tặc


Tuy nhiên, HP TippingPoint, công ty bảo mật đang tài trợ cho cuộc thi Pwn2Own cho biết bản cập nhật trình duyệt Safari vào phút cuối của Apple có thể ảnh hưởng đến những người được trao giải thưởng trên. Công ty này cho biết các trình duyệt đã được “đóng băng” hai tuần trước khi diễn ra và cuộc thi chỉ tính điểm cho hacker nào khai thác thành công lỗ hổng trên các phiên bản trình duyệt tại thời điểm đó bao gồm Safari 5.0.3, Chrome 9, IE8 và Firefox 3.6.

“Việc khai thác đôi khi phụ thuộc vào các phiên bản nhất định và đó là lý do chúng tôi đóng băng các thiết bị này”, công ty HP TippingPoint nhấn mạnh.

Vì vậy, nếu lỗ hổng này được Vupen sử dụng để hack Safari 5.0.4 thì họ sẽ không được nhận giải thưởng 15.000 USD từ cuộc thi này. Thay vào đó, giải thưởng sẽ được trao lại cho những ai khai thác thành công lỗ hổng trên Safari 5.0.3.

“Khi phiên bản mới nhất vẫn có lỗ hổng và người nào xâm nhập máy tính thành công với phiên bản bị đóng băng thì người đó sẽ giành chiến thắng”, HP TippingPoint tuyên bố.

Đây là lần đầu tiên trong vòng 4 năm, người hạ bệ trình duyệt Safari không phải là Charlie Miller, một nhà phân tích thuộc nhóm tư vấn bảo mật Independent Security Evaluators (ISE) và là đồng tác giả của cuốn sách The Mac Hackers Handbook (Sổ tay của hacker máy tính Mac). Miller đã giành chiến thắng tại cuộc thi Pwn2Own trong năm 2008, 2009 và 2010 bằng cách khai thác trình duyệt Safari.

IE8 của Microsoft cũng chịu chung số phận với trình duyệt Safari trong ngày hôm qua khi bị đánh bởi bởi người tấn công đầu tiên Stephen Fewer. Fewer là người sáng lập ra Harmony Security và thường xuyên báo lỗi cho chương trình vui chơi có thưởng Zero Day Initiative (ZDI) của TippingPoint.

Để khai thác IE8, Fewer đã vượt qua Chế độ bảo vệ Protected Mode. Protected Mode là tên gọi của Microsoft đặt cho công nghệ chống khai thác giống sandbox được thiết kế để tách riêng trình duyệt này ra khỏi hệ điều hành và phần còn lại của máy tính.

Các trình duyệt web được đưa ra làm "mẫu vật thí nghiệm" đầu tiên


Vupen đã chờ đợi để thử sức trong trường hợp Fewer thất bại nhưng họ không còn cơ hội để thử vận may của mình với IE8.

Microsoft, với các kỹ sư đến từ Microsoft Security Response Center (MSRC) tại cuộc thi ở Canada cho hay họ đã biết về trường hợp này. “Các nhà nghiên cứu an ninh hàng đầu của chúng tôi đã điều tra việc khai thác IE được sử dụng trong cuộc thi Pwn2Own”, nhóm MSRC cho biết.

Đầu tuần này, Microsoft khẳng định họ không nâng cấp IE như Apple, Google và Mozilla đều làm trong những ngày trước khi diễn ra cuộc thi Pwn2Own bởi việc đó có thể sẽ gây khó khăn cho khách hàng của họ.

Jerry Bryant, quản lý nhóm MSRC cho biết công ty TippingPoint đang báo cáo các lỗ hổng được phát hiện tại cuộc thi Pwn2Own cho các nhà cung cấp và họ có sáu tháng để sửa các lỗi này trước khi TippingPoint công bố công khai. Điều đó sẽ giúp giảm thiểu nguy cơ những lỗ hổng này rơi vào tay giới tội phạm mạng.

Hôm nay, cuộc thi sẽ bước vào màn tranh tài khai thác lỗi trên trình duyệt Firefox và bốn chiếc smartphone chạy các nền tảng khác nhau bao gồm iOS của Apple, Android của Google, Windows Phone 7 của Microsoft và BlackBerry OS của RIM. TippingPoint sẽ trao giải thưởng 15.000 USD cho người đầu tiên hack thành công mỗi thiết bị này.

                                                                                  Theo Dantri


 

Các tin khác


Thời tiết hanh khô, cảnh giác nguy cơ cháy rừng

(HBĐT) - Theo Trung tâm Dự báo khí tượng thủy văn, mùa hanh khô năm 2020 - 2021 diễn biến phức tạp, khó lường, nguy cơ xảy ra cháy rừng rất cao. Nhằm kiểm soát, hạn chế thấp nhất những thiệt hại do cháy rừng gây ra, các cấp, ngành, địa phương cần nâng cao cảnh giác, triển khai đồng bộ các biện pháp nâng cao hiệu quả công tác bảo vệ rừng (BVR), phòng cháy, chữa cháy rừng (PCCCR).

Huyện Tân Lạc: Khống chế, ngăn chặn dịch tả lợn châu Phi lây lan

(HBĐT) - Hiện nay, Tân Lạc là địa phương có ổ dịch dịch tả lợn châu Phi (DTLCP) nhiều thứ hai của tỉnh (sau huyện Mai Châu). Từ khi dịch bùng phát, huyện đã đẩy mạnh công tác tuyên truyền, thực hiện nghiêm các biện pháp để ngăn chặn, khống chế dịch bệnh lây lan.  

Nguồn lực mới cho công tác bảo vệ rừng

Việt Nam đã bước vào thị trường trao đổi tín chỉ các-bon của thế giới sau một thời gian dài phấn đấu quản lý rừng bền vững. Đây là sự kiện lớn, đánh dấu sự khởi đầu tích cực trong việc huy động nguồn lực mới cho bảo vệ rừng, nâng cao chất lượng rừng và quản lý rừng bền vững, qua đó giúp Việt Nam đạt được các mục tiêu giảm nhẹ biến đổi khí hậu…

Không khí lạnh gây mưa ở Bắc Bộ, Bắc Trung Bộ

Theo Trung tâm Dự báo Khí tượng Thủy văn quốc gia, do ảnh hưởng của không khí lạnh, hôm nay, 23-11, ở Bắc Bộ, Bắc Trung Bộ có mưa và mưa rào nhẹ rải rác. Từ đêm mai, các tỉnh Đông Bắc Bộ và Bắc Trung Bộ chuyển lạnh, vùng núi có nơi dưới 16 độ C.

Gỗ sinh học phát quang có thể thắp sáng những ngôi nhà

(HBĐT) - Một nhóm các nhà khoa học vừa công bố trên tạp chí ACS Nano rằng, họ đã phát triển màng gỗ sinh học có thể phát quang, kháng nước, một ngày nào đó có thể được sử dụng để phát sáng.

Tăng cường công tác bảo vệ rừng mùa khô 2020 - 2021

(HBĐT) - UBND tỉnh vừa có Công văn số 1914/UBND-NNTN về việc tăng cường công tác bảo vệ rừng (BVR) mùa khô 2020 – 2021.

Xem các tin đã đưa ngày:
Tin trong: Chuyên mục này Mọi chuyên mục