Gigantfiks til Safari hjalp lite

Nettleseren knekket på fem sekunder i Pwn2Own-konkurransen.

Den årlige hackerkonkurransen Pwn2Own startet i går. Konkurransen er en del av sikkerhetskonferansen CanSecWest som arrangeres i Vancouver, Canada, denne uken.

I konkurransen skal sikkerhetseksperter forsøke å knekke både vanlige nettlesere og mobiltelefoner.

Den første nettleseren som ble knekket, var Safari på Mac OS X. Ifølge VUPEN Security tok det fem sekunder å gjennomføre knekkingen, men forberedelsene skal ha vært langt mer krevende.

Ifølge eWeek fortalte medgründer i VUPEN, Chaouki Bekrar, at et team på tre menn brukte omtrent to uker på å finne sårbarheten i WebKit-delen av Safari, samt å lage koden som utnytter sårbarheten. Den krever kun at en Safari-bruker besøker en gitt webside. Noen annen form for brukerinteraksjon er ikke nødvendig. Resultatet var at kalkulator-programmet i Mac OS X ble startet, samt at det ble skrevet til en fil på maskinen.

Ifølge Ars Technica synes Bekrar at det likevel var relativt vanskelig å få til knekkingen. Ikke fordi det er mangel på sårbarheter i WebKit, men fordi utnyttelsesteknikker for 64-bits Safari er lite dokumentert. Derfor måtte ekspertene utvikle både egne verktøy og angrepskode fra bunnen av. Det resulterte i at de greide å omgå beskyttelsesteknikker som Data Execution Prevention (DEP) og Address Space Layout Randomization (ASLR), noe som anses som relativt trivielt, men også den uvanlige bruken av disse teknikkene som gjøres av 64-bits Safari.

Apple kom i går med Safari 5.0.4, som fjerner over 60 sårbarheter i nettleseren – de aller fleste i presentasjonsmotoren WebKit. Ifølge enkelte kilder var det likevel versjon 5.0.3 som ble brukt i konkurransen, men denne meldingen fra VUPEN typer på det motsatte.

Også Googles nettleser, Chrome, er basert på WebKit, men Google oppdaterer sin nettleser langt hyppigere enn det Apple gjør, slik at i alle fall de fleste av WebKit-sårbarhetene som nå har blitt fjernet fra Safari, for lengst har blitt fjernet fra Chrome.

To personer skulle i utgangspunktet ha forsøkt å knekke Chrome i går, men ingen av dem møtte opp. Det kan skyldes at Google kom med Chrome 10 på mandag hvor en rekke sårbarheter ble fjernet. Dermed kan det se ut til at Chrome kommer seg gjennom sin tredje strake Pwn2Own-konkurranse uten å bli knekket, dersom ikke noen andre lykkes i en separat konkurranse som vil pågå i dagene som følger.

Microsoft valgte denne måneden å la være å komme med sikkerhetsfikser til Internet Explorer 8, til tross for at det finnes kjente sårbarheter i nettleseren. Det kan ha bidratt til at også denne nettleseren ble knekket i går.

Det var den irske sikkerhetseksperten Stephen Fewer som først greide å knekke IE8. Dette ble ifølge ZDNet gjort ved å utnytte tre ulike sårbarheter i nettleser. To sårbarheter ble utnyttet til å oppnå pålitelig kjøring av vilkårlig kode, mens en tredje ble brukt til å omgå sandkassen, IE Protected Mode.

Ifølge ZDNet skal angrep også ha omgått DEP- og ASLR-teknikkene som støttes av de nyeste utgavene av Windows.

I likhet med Safari-angrep skal det ha vært tilstrekkelig for Fewer å besøke en webside for å utløse IE-angrepet, som resulterte i at kalkulatorprogrammet ble startet og at det ble skrevet til en fil. Fewer innrømmer at det var svært tidkrevende å finne sårbarhetene og utvikle angrepskoden, noe som skal ha tatt ham fem-seks uker. Spesielt skal det ha vært krevende å omgå Protected Mode.

I løpet av dagen skal en deltaker forsøke å knekke Firefox. Den nyeste versjonen av Mozillas nettleser, 3.6.15, kom for en knapp uke siden.

Pwn2Own-konkurransen inkluderer også knekking av smartmobiler. I løpet av uken skal deltakere forsøke å knekke både Dell Venue Pro med Windows Phone 7, iPhone 4 med iOS, Blackberry Torch 9800 med Blackberry 6 OS og Nexus S med Android.

Pwn2Own arrangeres av sikkerhetsselskapet TippingPoint, som eies av HP.

10.03.2011 12.12: Artikkelen er oppdatert med mer informasjon om hvilken versjon av Safari som ble benyttet

    Les også:

Til toppen