Ani v druhý a tretí deň hackerskej súťaže Pwn2Own konanej počas bezpečnostnej konferencie CanSecWest nikto z účastníkov nedemonštroval chybu v prehliadači Chrome a operačných systémov smartphonov, ktorá by umožnila získať útočníkovi kontrolu nad PC respektíve smartphonom alebo umožnila získať zo smartphonu užívateľove dáta.

V správe o priebehu súťaže o tom informovala bezpečnostná spoločnosť TippingPoint patriaca 3Com.

Hneď v prvý deň súťaže, ako sme informovali v tomto článku, boli demonštrované doteraz štyri neznáme chyby umožňujúce získať útočníkovi kontrolu nad PC iba po návšteve podvrhnutej webovej stránky zraniteľným prehliadačom.

Dve demonštrované chyby sa nachádzajú v Safari na Mac OS X, jedna chyba v Internet Exploreri 8 a jedna chyba vo Firefoxe. Jedna z týchto chýb respektíve jej obdoba je podľa TippingPoint prítomná aj v Chrome, v tomto prehliadači ju ale nie je možné zneužiť na získanie kontroly nad PC.

Napriek odmene 5 tisíc dolárov za demonštrovanú chybu v desktopovom prehliadači, až 10 tisíc dolárov za chybu v OS smartphonov a čoraz častejšiemu presviedčaniu tvorcov antivírusov o potrebe antivírusových riešení pre smartphony v ďalších dňoch súťaže nebola demonštrovaná žiadna chyba v Chrome ani v RIM OS používanom v BlackBerry, Androide, OS X v iPhone, Symbiane ani Windows Mobile.

U mobilných OS v prvom dni súťaže mohla byť zneužitá chyba iba prijatím SMS, MMS alebo emailu alebo iným spôsobom bez súčinnosti užívateľa v štandardnej konfigurácii OS, čo sa týka zapnutia WiFi, Bluetooth a GSM. V druhý deň už mohla byť využitá aj chyba prejavujúca sa prečítaním SMS, MMS a emailu alebo iným pasívnym spôsobom, pričom WiFi a Bluetooth boli zapnuté, aj keď v štandardnej konfigurácii daného OS respektíve smartphonu sú vypnuté.

V tretí deň už mohli byť demonštrované aj chyby, k zneužitiu ktorých príde po vykonaní niektorej štandardnej akcie užívateľom v predinštalovaných aplikáciách. Bluetooth bol zapnutý a smartphone mohol byť spárovaný s headsetom alebo iným zariadením.

U prehliadačov mohli byť v druhý deň zneužívané aj chyby v najčastejšie používaných pluginoch, Flash, Java, Quicktime a .NET. V tretí deň mohli byť zneužité chyby v populárnych aplikáciách ako Adobe Reader, ktoré je možné zneužiť návštevou webovej stránky cez prehliadač.

zdroj: dsl.sk