Завершился первый день соревнований по взлому типичных программных окружений, проводимых ежегодно в рамках конференции CanSecWest 2009.
Как и в прошлом году победу в соревновании одержал Чарли Миллер, главный аналитик компании Independent Security Evaluators, которому понадобилось всего-лишь открыть в web-браузере Safari специально подготовленную страницу, для получения полного контроля над Mac OS X с установленным полным комплектом обновлений. В качестве награды Чарли получил 5 тыс. долларов и ноутбук MacBook, пишет
Opennet.ru.
Печальная участь также не обошла и другие браузеры. Internet Explorer 8 был успешно взломан другими участниками соревнований под ником Nils. Взлом позволил получить полный контроль над машиной с последней сборкой Windows 7, успешно обойдя разрекламированные Microsoft средства защиты DEP (Data Execution Prevention) и ASLR (Address Space Layout Randomization). Позднее Nils продемонстрировал подобный взлом браузеров Safari и Firefox. В качестве награды Nils получил ноутбук Sony Vaio и 15 тыс. долларов (по 5 тыс. за каждый zero-day эксплоит).
Во всех случаях взлом был произведен через ранее неизвестные уязвимости (zero-day). Браузеры и операционные системы были самых последних версий с наложением всех доступных патчей. Детали взлома браузеров по условиям соревнований будут оставаться в тайне до момента выпуска официальных обновлений. Единственным устоявшим против взлома браузером оказался Google Chrome (тем не менее Nils пообещал продемонстрировать эксплоит завтра), браузер Opera в соревнованиях не участвовал.
Следует заметить, что впереди еще два дня соревнований, на которых будут проведены конкурсы по взлому плагинов (flash, java, .net, quicktime), популярных программ, таких как Acrobat Reader и мобильных телефонов.
