The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

На турнире хакеров Mac OS X взломали меньше чем за минуту

28.03.2008 10:40

Компания Tipping Point объявила о том, что заплатит до 20 тысяч долларов и подарит ноутбук тому, кто сможет скомпрометировать сразу 3 компьютера с операционными системами Microsoft Windows Vista, Apple Mac OS X и Ubuntu Linux в рамках соревнования PWN2OWN, проводимого на конференции CanSecWest 2008.

Как и в прошлом году, первой и единственной жертвой стала операционная система Mac OS X. В этом году, Чарли Миллер, главный аналитик Independent Security Evaluators, скомпрометировал Apple MacBook с Mac OS X 10.5.2 "Leopard" меньше чем за минуту, воспользовавшись неизвестной ранее ошибкой в web-браузере Safari. Найденная уязвимость, по мнению специалистов, очень серьезная. Она позволяет злоумышленнику удаленно выполнить произвольный код, что и было продемонстрировано на соревновании.

Как итог, Чарли Миллер унес домой приз в виде ноутбука MacBook и десяти тысяч долларов, а компания Tipping Point планирует запустить кампанию по информированию общественности о найденной 0day уязвимости через свой сайт.

  1. Главная ссылка к новости (http://www.securityfocus.com/b...)
  2. OpenNews: В марте состоится турнир хакеров по взлому Windows, MacOS X и Linux
  3. Mac OS X first to fall
  4. Официальный сайт Tipping Point
Автор новости: specialm
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/15007-mac
Ключевые слова: mac, apple, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (45) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, april (?), 11:46, 28/03/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а машину с Windows Vista никто не ломал ибо никому ноут со свистой был не нужен???
     
     
  • 2.5, vortex (?), 12:04, 28/03/2008 [^] [^^] [^^^] [ответить]  
  • +/
    ну виста не нужна, но железо то от этого не дешевле ;)
     
     
  • 3.39, Аноним (-), 05:13, 31/03/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >ну виста не нужна, но железо то от этого не дешевле ;)

    И ее сломали.Не сломали только скромную африканку убунту на япошке Сони :)


     

  • 1.2, послушайте (?), 11:54, 28/03/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    так не честно.
    парень пришел уже подготовленный, он точно знал уже чем подвержена эта версия системы.
     
     
  • 2.3, Andrew Kolchoogin (?), 11:57, 28/03/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Оборотная сторона операционных систем с открытым исходным кодом. Необходим _живой_ Security Officer, который будет мгновенно реагировать на zero-day-exploit'ы. Вон, во FreeBSD их уже двое... Персиваль, видимо, один не успевает всё разгребать.
     
     
  • 3.29, Анонима (?), 22:02, 28/03/2008 [^] [^^] [^^^] [ответить]  
  • +/
    а когда второго назначили? я что-то пропустил.
     
  • 3.40, Аноним (-), 05:22, 31/03/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Оборотная сторона операционных систем с открытым исходным кодом. Необходим _живой_ Security Officer,
    >который будет мгновенно реагировать на zero-day-exploit'ы.  

    Да?Вон африканку Убунту сломать так и не смогли.А висту-drmисту и макось сломали.Что ж такое то?Ах, кажется понимаю - обе системы в общем то проприетарные и к открытости мало какое отношение имеют, так что получается что живые секурити-офицеры нужны скорее проприетарным системам:).И кстати на вмсплайсы в убунте апдейт сам приехал и быстро.Кстати редкий для линукса случай - после инсталла система попросила ребутнуться.Обычно нафиг не надо ничего ребутать :).Это вам не майкрософт который апдейты раз в месяц выдает, когда непротрояненых машин уже почти не осталось и ребут неизбежен потому как длл файлы иначе залочены и бех этого просто не заменяются нифига и апдейт не применен фактически :)

    >Вон, во FreeBSD их уже
    >двое... Персиваль, видимо, один не успевает всё разгребать.

    А можно мне для линуха 0-day который позволит ремотно поиметь машину?Или хоть напомните, когда там был 0-day позволяющий чего-то ремотно получить без каких-то действий локального юзера уже имеющего аккаунт или того веселее физический доступ, а?

     
     
  • 4.48, 0day (?), 02:31, 22/04/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >файлы иначе залочены и бех этого просто не заменяются нифига и
    >апдейт не применен фактически :)
    >
    >>Вон, во FreeBSD их уже
    >>двое... Персиваль, видимо, один не успевает всё разгребать.
    >
    >А можно мне для линуха 0-day который позволит ремотно поиметь машину?Или хоть
    >напомните, когда там был 0-day позволяющий чего-то ремотно получить без каких-то
    >действий локального юзера уже имеющего аккаунт или того веселее физический доступ,
    >а?

    та поиметь бы хотя бы для IE'шки 0day... никто не занимается часом ? :)


     
  • 2.22, vle (?), 17:01, 28/03/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Мда, желающих читать код Darwin не так уж и много. Особенно
    после смерти OpenDarwin.
     
     
  • 3.30, Helg (??), 23:51, 28/03/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Мда, желающих читать код Darwin не так уж и много. Особенно
    >после смерти OpenDarwin.

    Уязвимость скорее относится к WebKit/KHTML, и штудируют их код регулярно

     
  • 2.24, Аноним (24), 18:40, 28/03/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >> так не честно. парень пришел уже подготовленный, он точно знал уже чем подвержена эта версия системы.

    Всё честно - производители как-никак тоже пришли подготовленными - все известные последние дырки были залатаны ведь :)

     

  • 1.4, vortex (?), 12:03, 28/03/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    не верю, что висту не сломали! неужели она действительно "безопасная"?!
     
     
  • 2.6, Аноним (24), 12:09, 28/03/2008 [^] [^^] [^^^] [ответить]  
  • +/
    висту не взломали - она просто не запустилась
     
     
  • 3.9, Sarmat (?), 12:26, 28/03/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >висту не взломали - она просто не запустилась

    висту так быстро не взломать, она же система не быстрая значит и ломаеться не быстро

     
     
  • 4.16, morpheus (?), 14:03, 28/03/2008 [^] [^^] [^^^] [ответить]  
  • +/
    +1000
     
  • 4.25, vortex (?), 19:27, 28/03/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>висту не взломали - она просто не запустилась
    >
    >висту так быстро не взломать, она же система не быстрая значит и
    >ломаеться не быстро

    жаль. я б позлорадствовал не меньше чем на маками...

     
  • 3.41, Аноним (-), 05:23, 31/03/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >висту не взломали - она просто не запустилась

    Сломали... :P.Уцелел в итоге только ноут от соньки с убунтой :)

     
  • 2.12, grayich (??), 12:47, 28/03/2008 [^] [^^] [^^^] [ответить]  
  • +/
    сломать висту, было равнозначно тому, чтобы подарить уязвимость m$ и прочим. думается за нормальную уязвимость можно получить поболее $20k с буком
     

  • 1.7, stellgenossen.ru (?), 12:12, 28/03/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это не совсем верно: "Она позволяет злоумышленнику удаленно и без каких-либо дополнительных действий со стороны пользователя". Действия со стороны пользователя потребовались:
    http://www.channelregister.co.uk/2008/03/28/mac_hack/
    "The exploit involved getting an end user to click on a link, which opened up a port that he was then able to telnet into."

    Именно поэтому он получил приз 10000$, а не 20000$.

     
     
  • 2.10, specialm (?), 12:39, 28/03/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Действительно, не заметил "The vulnerability exploited by Miller required some user interaction". Спасибо, поправил.
     

  • 1.8, Konstantin (??), 12:17, 28/03/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Внимательно перечитал блог и понял что единтсвенное о чем они смогли написать это бага в сафари поставляемого для венды через айтюнс апдейт. смешно до слез. Сломали сафари на венде и теперь говорят что бага в леопарде. +1024
     
     
  • 2.20, sun (??), 15:09, 28/03/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Внимательно перечитал блог и понял что ... это бага в сафари поставляемого для венды через айтюнс апдейт. смешно до слез. +1024

    :) Почитай еще +1024 раз - может, еще чего поймешь ;)

     

  • 1.13, Flyheart (?), 12:55, 28/03/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Может имеет смысл сменить название новости, а то желтизной попахивает. Сломали то сафарь под вынь, а не МакОС.
     
     
  • 2.15, Fr. Br. George (?), 13:51, 28/03/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Сломали Safari под MacOS X, что ещё могло быть запущено на MacBook Air? А упоминание про Windows -- это пугалка такая: "поставите Safari нв свою винду -- и вас сломают".
     
     
  • 3.46, Кирилл (??), 14:13, 31/03/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Сломали Safari под MacOS X, что ещё могло быть запущено на MacBook
    >Air? А упоминание про Windows -- это пугалка такая: "поставите Safari
    >нв свою винду -- и вас сломают".

    На эире могло быть что угодно, в том числе и виста.

     

  • 1.14, Аноним (24), 13:34, 28/03/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мда, даже windows уже безопаснее, чем macosx. Кто-то еще настолько глуп, чтобы считать закрытые системы безопасными?
     
  • 1.17, Lin (??), 14:38, 28/03/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Прикольно, чел сломал MacOS, за это ему дали MacBook с той же MacOS
    Типа получи, фашист, гранату!
    ((:
     
     
  • 2.18, ЮзверЪ (?), 15:03, 28/03/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > Прикольно, чел сломал MacOS, за это ему дали MacBook с той же MacOS
    > Типа получи, фашист, гранату! ((:

    Поломал - пусть теперь сам чинит... (-;

     
  • 2.19, Аноним (24), 15:06, 28/03/2008 [^] [^^] [^^^] [ответить]  
  • +/
    на нем замечательно работает Убунта
     

  • 1.21, Кирилл (??), 15:26, 28/03/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    20 килобаксов за опубликование уязвимости висты это смешно, как, собственно, и линукса тоже.
     
  • 1.23, Аноним (-), 17:12, 28/03/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Справедливость восторжествовала =). А то у "фанатегов" Эпл (и многих других)сложилось мнение, будто mac os x самая лучшая, самая безопасная ос...  Бред...
     
     
  • 2.42, Кирилл (??), 10:41, 31/03/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Справедливость восторжествовала =). А то у "фанатегов" Эпл (и многих других)сложилось мнение,
    >будто mac os x самая лучшая, самая безопасная ос...  Бред...
    >

    Ну МакОСь не самая безопасная, это давно известно. Но самая лучшая это да ;) Очень удобная среда.

     
     
  • 3.44, angra (ok), 10:58, 31/03/2008 [^] [^^] [^^^] [ответить]  
  • +/
    А можете посоветовать для этой удобной среды хорошую читалку книг? Пока терзания гугля привели к нескольким заброшенным проектам с дохлыми линками, tofu(не умеет русский) и coolreader(не умеет ничего кроме fb2). В результате приходится читать через safari, который к тому же часто зависает на смене кодировки или размера шрифта.
     
     
  • 4.45, Кирилл (??), 11:37, 31/03/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >А можете посоветовать для этой удобной среды хорошую читалку книг? Пока терзания
    >гугля привели к нескольким заброшенным проектам с дохлыми линками, tofu(не умеет
    >русский) и coolreader(не умеет ничего кроме fb2). В результате приходится читать
    >через safari, который к тому же часто зависает на смене кодировки
    >или размера шрифта.

    Какие вы книги читать хотите? Для меня книга это или из бумаги :) или пэдээф, или дежавю. А вы какие хотите?

     
     
  • 5.47, angra (ok), 16:37, 31/03/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Хотя бы в наиболее распространенном формате - plain text. А вообще желательно умение читать и другие форматы. Можете порекомендовать утилиты для удобного просмотра pdf и djvu, а также для конвертации в них из других форматов. Ну и конечно хотелось бы бесплатные версии :)
     

  • 1.26, Аноним (26), 20:06, 28/03/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Странно, я что-то непонял, это експлоит для сафари под виндой, где всетаки внятно написано под какой осью он взломал макбук аир?
     
  • 1.27, Аноним (26), 20:11, 28/03/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    The exploit involved getting an end user to click on a link, which opened up a port that he was then able to telnet into
    В не проще сразу через аську попросить юзера запустить вот эту чудо программу?
     
     
  • 2.43, Кирилл (??), 10:46, 31/03/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >The exploit involved getting an end user to click on a link,
    >which opened up a port that he was then able to
    >telnet into
    >В не проще сразу через аську попросить юзера запустить вот эту чудо
    >программу?

    А дальше чего? чтоб по телнету подцепиться к МакОСи нужен пароль супера.

     

  • 1.28, Аноним (26), 20:13, 28/03/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    вдогонку... мне казалось что для таких вещей МакОсь запрашивает пароль супервизора, кто-то вкурсе он что именно скрыто это делал?
     
     
  • 2.31, Vlad Berezhnyak (?), 23:56, 28/03/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >вдогонку... мне казалось что для таких вещей МакОсь запрашивает пароль супервизора, кто-то
    >вкурсе он что именно скрыто это делал?

    Может договорились, а деньги пополам?

     

  • 1.32, AmdY (ok), 00:07, 29/03/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    :) недавно читал хабру, там в очередной раз пиарилась макось, даж обидно как-то.
    в очередной раз убеждаюсь, что при выборе системы дыравостью нужно руководствоваться во вторую очередь, главное - удобство и функциональность.
     
     
  • 2.33, Ононимус (?), 00:27, 29/03/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >:) недавно читал хабру, там в очередной раз пиарилась макось, даж обидно
    >как-то.
    >в очередной раз убеждаюсь, что при выборе системы дыравостью нужно руководствоваться во
    >вторую очередь, главное - удобство и функциональность.

    кому как, правда? некоторым важнее целостность и неприкосновенность (о, как замутил =)) данных чем удобство, юзеру (пользователю) и т.д наоборот...

     
  • 2.35, Аноним (24), 02:30, 29/03/2008 [^] [^^] [^^^] [ответить]  
  • +/
    На хабре тот еще контингент...

    > дыравостью нужно руководствоваться во вторую очередь, главное - удобство и функциональность.

    В макоси из этого есть только первое.

     
     
  • 3.36, Аноним (-), 11:04, 29/03/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >На хабре тот еще контингент...
    >
    >> дыравостью нужно руководствоваться во вторую очередь, главное - удобство и функциональность.
    >
    >В макоси из этого есть только первое.

    Смотря что каждый понимает под словом удобство...


     

  • 1.38, Аноним (26), 08:46, 30/03/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Только ноутбук Sony VAIO c Ubuntu Linux оказался неприступным перед атаками хакеров на конкурсе PWN2OWN, проводимом на конференции CanSecWest 2008 (Ванкувер). А последний день соревнований выявил еще одного победителя: Shane Macaulay. Он выиграл Fujitsu U810 с Windows Vista Ultimate SP1 скомпрометировав целевую систему используя 0day уязвимость в Adobe Flash.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру