Турнир Pwn2Own: выстоял только Google Chrome

Сегодня завершился первый день ежегодного конкурса Pwn2Own, в котором специалисты по вопросам информационной безопасности борются за призовой фонд в размере ста тысяч долларов. В этом году мишенями стали Chrome, Firefox, Internet Explorer и Safari.  Целью состязания, как и ранее, остается исследование популярнейших интернет-браузеров на устойчивость к хакерским атакам и поиск решений для повышения безопасности.

Internet Explorer 8 и Firefox 3 в Windows 7, Safari 4 в Mac OS X 10.6, а также iPhone OS 3 были скомпрометированы на первом же этапе соревнований. Chrome стал единственным браузером, который остался тверд как камень - пока ни один из хакеров даже не попытался серьезно атаковать этот продукт Google.

IPhone выстоял во время проведения конкурса в 2009 году, но в последнее время многие сомневались в повторении этого подвига и эти предсказания сбылись. Используя неизвестную ранее уязвимость в iPhone, два участника конкурса Pwn2Own смогли похитить всю SMS-переписку с мобильного телефона, включая удаленные ранее сообщения. Сотрудник немецкой фирмы, занимающейся вопросами компьютерной безопасности, Винченцо Иоццо (Vincenzo Iozzo) а также научный сотрудник Люксембургского Университета Ральф-Филипп Вейнман (Ralf-Philipp Weinmann) благодаря обнаруженному дефекту браузера Safari для мобильных телефонов легко обошли систему безопасности iPhone Data Execution Protection.

Чуть больше известно о тестировании Internet Explorer 8. Так, исследователь по вопросам безопасности Питер Врогденхил опубликовал черновой набросок из методов, используемых для обхода таких защит IE8 как DEP и ASLR.

Как и ожидалось, причиной стойкости Google Chrome  стала модель «песочницы», которая используется в Chrome и отделяет браузер от системных процессов и пользовательских данных. В таких условиях, если нежелательный процесс не сможет вырваться из этой «песочницы», последствия его воздействия существенно снижаются. Например, запись на жесткий диск и, следовательно, установка каких-либо вредоносных программ.

Тем не менее, модель «песочницы» не перекрывает доступ для чтения и кражи ценных данных. Но это не тот случай, когда Google Chrome не имеет промахов в системе безопасности. За несколько дней перед началом турнира Pwn2Own еще решалось, кто и с помощью каких компьютеров будет работать с этим браузером. Причиной неподготовленности участников стало то, что в это время Google выпустил обновленную версию Chrome, где был расширен диапазон защиты и исправлено несколько уязвимостей с высоким уровнем риска.

Подробной информации о ходе конкурса и достижениях соревнующихся не разглашается. Сначала о полученных результатах атак проинформируют создателей программных продуктов и только после устранения обнаруженных серьезных недостатков детали предадут гласности.