Trình duyệt Safari của Apple và Internet Explorer (IE) của Microsoft là những sản phẩm đầu tiên mà các hacker vượt qua trong ngày khai mạc cuộc thi Pwn2Own 2011.

Thách thức được đưa ra vào 3 giờ 30 phút chiều ngày 9/3 (theo giờ Mĩ), muộn hơn một chút so với dự kiến trong cuộc thi diễn ra từ ngày 9 đến 11 tháng 3 tại thành phố Vancouver, Canada.

Đội đến từ công ty bảo mật Vupen của Pháp đã nhận được 15 ngàn USD cùng với chiếc MacBook Air mới sau khi khai thác thành công một lỗ hổng chưa được vá của Safari. Trước đó vào ngày 8/3, Apple đã tung ra bản cập nhật cho Safari 5 và sửa chữa đến 64 lỗi, dù vậy, các thành viên của Vupen cuối cùng cũng đã chiến thắng.

Tuy nhiên, những nhà tổ chức cho biết, việc trao thưởng 15 ngàn USD có thể sẽ phải xem xét lại. Các trình duyệt đã được họ cố định trước 2 tuần trên thiết bị vì "việc khai thác đôi khi phụ thuộc vào các phiên bản", vì thế nếu lỗ hổng mà Vupen vừa khai thác được xác định thuộc về phiên bản Safari 5.0.4 vừa cập nhật cách đây một ngày thì giải thưởng sẽ trao lại cho những ai khai thác thành công lỗi trên Safari 5.0.3, phiên bản mà ban tổ chức đã chọn.

Đây là lần đầu tiên sau 3 năm, người chiến thắng trình duyệt của Apple không phải là Charlie Miller, nhà phân tích của nhóm tư vấn bảo mật Independent Security Evaluators (ISE), người đã vượt qua Safari tại Pwn2Own trong các năm 2008, 2009, và 2010.

Cũng hôm qua, IE8 của Microsoft đã rơi vào tay hacker hàng đầu Stephen Fewer, sáng lập viên của Harmony Security và là người thường xuyên thông báo lỗi đến TippingPoint Zero Day Initiative.

Để hạ gục IE8, Fewer đã vượt qua chế độ bảo vệ của trình duyệt này. Nhóm thành viên đến từ Vupen đã chờ đợi được đọ sức với IE nếu Stephen Fewer thất bại, tuy nhiên họ đã không có cơ hội.

Microsoft đã cử các kĩ sư thuộc bộ phận Microsoft Security Response Center (MSRC) đến Pwn2Own năm nay để ghi nhận các lổ hổng được khai thác tại cuộc thi.

Đầu tuần này, cha đẻ của IE thông báo họ sẽ không đưa ra bất kì bản cập nhật nào cho trình duyệt này trước thềm Pwn2Own. Quản lí của MSRC cho biết, TippingPoint sẽ gởi đến nhà sản xuất cảnh báo về các lỗi được khai thác trong cuộc thi, và sẽ có 6 tháng để sửa chữa trước khi nó được công bố rộng rãi, vì thế sẽ có rất ít khả năng lỗi trình duyệt rơi vào bàn tay của tội phạm mạng.

Dự kiến hôm nay cuộc thi sẽ diễn ra với phần khai thác lỗi trên trình duyệt Firefox và 4 điện thoại thông minh có nền tảng khác nhau, bao gồm iOS, Android, Windows Phone 7 và BlackBerry OS. Ban tổ chức sẽ trao thưởng 15 ngàn USD cho mỗi thiết bị được khai thác thành công.

Theo Computer World




Bình luận

  • TTCN (0)