Участники конкурса хакеров hack2own в Москве взломали в четверг последнюю версию браузера Safari для Windows.
Используя уязвимость нулевого дня (уязвимость, о которой
ранее не было известно) в браузере от Apple, авторы взлома запустили без
ведома владельца компьютера приложение-калькулятор. Безобидную
программу выбрали, чтобы показать работу уязвимости: если бы на месте
участников конкурса оказались злоумышленники, они запустили бы не
калькулятор, а вредоносный код. Конкурс hack2own проходит в рамках
форума Positive Hack Days, посвященного практическим вопросам
информационной безопасности, пишет РИА «Новости».
По словам
автора взлома, технического директора компании CISSRT (занимается
исследованиями в области безопасности ПО) Никиты Тараканова, для того
чтобы взломать браузер, он и его коллеги создали специальную
веб-страницу, на которой была размещена ссылка на потенциально
вредоносный код. Переход по ссылке автоматически запускает этот код,
который, в свою очередь, запускает калькулятор.
Как рассказал
РИА Новости один из организаторов конкурса, руководитель
исследовательского центра компании Positive Technologies Александр
Анисимов, заявки на конкурс подали несколько претендентов, но только
вариант от CISSRT оказался рабочим и оригинальным.
Тараканов
рассказал РИА Новости, что в операционной системе Mac OS X уязвимость
Safari приводит лишь к экстренному прекращению работы браузера. Однако,
по его словам, это не свидетельствует о более высокой защищенности Mac
OS X — уязвимость не срабатывает из-за разницы в принципах работы с
памятью этих операционных систем.
Победитель конкурса получил приз — ноутбук Toshiba с установленным на нем Safari.
Ранее браузер Safari взломали участники другого похожего конкурса,
проходившего на конференции по безопасности CanSecWes в Ванкувере
(Канада) в марте.
Positive Hack Days — международный форум,
посвященный практическим вопросам информационной безопасности. В
программу форума входят практические мастер-классы по решению сложных
практических задач, деловые семинары главных специалистов отрасли, а
кроме того различные конкурсы по защите и взлому информационных ресурсов
и электронных устройств.
http://www.66.ru