Состязание взломщиков

Состязание взломщиков 
На прошедшей в Ванкувере конференции CanSecWest состоялось соревнования, в рамках которых демонстрировались методы выполнения кода в системе с использованием уязвимостей браузеров. Стимул у участников был серьёзным: за 14 успешных атак в сумме было выплачено $850 тыс. Больше всех заработала команда Vupen — $400 тыс.

Дважды атаковался браузер Chrome — один раз успешно, второй раз — нет. Премия за первую атаку составила $100 тыс., но и второй участник не ушёл с пустыми руками — за идею он получил $60 тыс. Компания Google уже сообщила, что устранены 4 опасные уязвимости, сочетание которых и обусловило успех взлома.

любой другой выбор был бы примерно таким же. Так что следует воспринимать реалии такими, какие они есть. Использование systemd пока обозначено лишь как цель, которая может и не быть достигнута. Поэтому и тут не без интриги. Разработчики ставят ещё одну цель: интеграцию в систему инструментов кросс-компиляции и обеспечение кросс-сборки базовой системы, чтобы собирать её без установки дополнительных средств. Наконец, планируется полная поддержка UTF-8 во всех пакетах, вплоть до поставки файлов только с UTF-именами.

Задачи амбициозные, но время у разработчиков есть: по плану, релиз выходит весной следующего года. Многое может измениться; но скучно уж точно не будет.
То есть денежки Google были потрачены не зря. Также были представлены 2 атаки на ChromeOS. Одна из них оказалось уникальной — хакеру удалось сохранить свои данные после перезагрузки. Это обогатило автора на $150 тыс. от компании Google. Firefox был успешно атакован 4 раза. Каждая атака была оценена в $50 тыс. Браузер Internet Explorer взломали 3 раза. Две атаки оценили в $100 тыс., одна получила вдвое меньше. Safari от Apple поднимал белый флаг дважды. Первая атака стоила $65 тыс., вторая — $32,5 тыс.

Все атаки выполнялись через открытие страницы в браузере. Полный отчёт о состязании выйдет по устранении разработчиками найденных уязвимостей.

---
+ +5 -