ZDI HP награждает 400 000$ в денежном призе в Pwn2Own, поскольку новые дефекты нулевого дня продемонстрированы в популярных веб-технологиях.Еще раз событие Pwn2Own доказало, что независимо от того, как твердые поставщики пробуют, уязвимости остаются в популярных технологиях веб-браузера. 12 марта исследователи в области безопасности в проблеме безопасности Pwn2Own нашли новые дефекты нулевого дня в Internet Explorer Microsoft, Firefox Mozilla, Adobe Flash и технологиях Adobe Reader.Всего, Инициатива нулевого дня (ZDI) Hewlett-Packard, которая выполняет событие Pwn2Own, наградила 400 000$ в денежном призе исследователям для их открытий.
Дополнительные 82 500$ в денежном призе были пожертвованы HP канадскому Красному Кресту для открытий, сделанных HP и Google как часть компонента Pwn4Fun события Pwn2Own.Событие Pwn4Fun позволило HP и исследователям Google продемонстрировать новые дефекты нулевого дня.«Исследователи от Инициативы Нулевого дня HP поставили под угрозу Microsoft Internet Explorer 11 с помощью уязвимости использования-после-свободного, объединенной в цепочку с методом обхода песочницы», сказал Брайан Горенк, менеджер Исследования Уязвимости в HP Zero-Day Initiative, eWEEK.
Горенк добавил, что его группа также раскрыла шесть дополнительных уязвимостей нулевого дня в браузере Internet Explorer. HP пожертвовал 50 000$ в денежном призе к канадскому Красному Кресту для открытий IE. Google также нашел дефекты в веб-технологиях в Pwn4Fun.
«Исследователь от Google продемонстрировал уязвимости в Apple Safari, получив корневой компромисс цели», сказал Горенк.Компромисс Google Safari привел к пожертвованию в размере 32 500$ канадскому Красному Кресту.Pwn2OwnНа основной передней стороне Pwn2Own исследовательская фирма безопасности VUPEN еще раз является крупным победителем.
VUPEN появился за прошлые три года для становления доминирующим проигрывателем в конкурсе Pwn2Own. В 2011 исследователи VUPEN взломали Apple Safari за 5 секунд. В 2012 VUPEN взломал Google Chrome, быстро справление безопасности того браузера.
В 2013 VUPEN успешно использовал Firefox, IE и Java.На событии 2014 года VUPEN до сих пор заработал 300 000$ в денежном призе, успешно использовав Firefox за 50 000$, IE за 100 000$, Adobe Reader за 75 000$ и Adobe Flash за 75 000$.HP в этом году присуждает многократные призы на категорию браузера и обязался покупать все успешные попытки использования от зарегистрированных соперников.
«Firefox был популярной целью для наших исследователей и был успешно использован три раза на первый день», сказал Горенк. «Все уязвимости, влияющие на Firefox, были уникальны, включая использование-после-свободного, расширение полномочий, и за пределы чтение и запись».В дополнение к использованию Firefox VUPEN исследователь в области безопасности Мариуш Млынский и исследователь Юри Аэдла оба были в состоянии использовать Firefox независимо.
Для их усилий Млынский и Аедла были каждый награждены 50 000$.В то время как HP уже наградил 400 000$ в общем денежном призе, самый богатый единственный приз на событии Pwn2Own все еще остается невостребованным. HP установил специальную «категорию» Единорога Использования на 2014, которая бросает вызов исследователям использовать Internet Explorer 11 работ 64-разрядной операционной системы Windows 8.1 с выполнением Улучшенного инструментария опыта смягчения (EMET). Приз за то, что успешно скомпрометировали Единорога Использования составляет 150 000$.
«К сожалению, никто не зарегистрировался в системе для категории Единорога Использования, но у нас действительно было несколько исследователей, говорящих с нами об этом», сказал Горенк. «Мы любим приносить сложные категории к конкурсу и будем постоянно пытаться выйти за границы возможного при тестировании технологий смягчения».Шон Майкл Кернер является главным редактором eWEEK и InternetNews.com.
Следуйте за ним в Твиттере @TechJournalist.