The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

На соревновании Pwn2Own 2017 появились номинации за взлом Linux и Apache httpd

22.01.2017 09:12

Корпорация TrendMicro после поглощения компании TippingPoint, основателя инициативы Zero Day Initiative (ZDI), взяла на себя организацию ежегодного мероприятия Pwn2Own, участники которого демонстрируют рабочие техники эксплуатации ранее неизвестных уязвимостей и получают за это вознаграждение. В 2017 году соревнованиям Pwn2Own исполняется 10 лет, в честь чего добавлено несколько новых номинаций, касающихся Linux (ранее соревнования обходили Linux стороной). Мероприятие состоится с 15 по 17 марта, размер призового фонда составит более миллиона долларов.

Наиболее интересным нововведением является появление номинации за демонстрацию успешного взлома HTTP-сервера на базе Apache httpd. Участнику, который успешно продемонстрирует удалённую эксплуатацию Apache httpd в окружении Ubuntu Server 16.10, в котором установлены все доступные обновления, будет вручена премия в 200 тысяч долларов. Кроме того, появилась номинация за демонстрацию локального эксплоита для ядра Linux, приводящего к повышению привилегий в окружении Ubuntu Desktop 16.10. Размер вознаграждения для данной номинации составляет 15 тысяч долларов.

Из других целевых систем, которые представлены на соревновании, можно отметить web-браузеры Firefox, Chrome, Safari и Edge, гипервизоры (vMware Workstation, Hyper-V), ядра macOS и Windows, плагин Adobe Flash, приложения Adobe Reader, MS Office Word, Excel и PowerPoint. Приз за взлом гипервизора составляет 100 тысяч долларов, Microsoft Edge или Google Chrome - 80 тысяч долларов, Apple Safari, Adobe Reader, Microsoft Word, Excel или PowerPoint - 50 тысяч долларов, Firefox - 30 тысяч долларов, локальное повышение привилегий через ядра Windows и macOS - 30 и 20 тысяч долларов.

  1. Главная ссылка к новости (http://blog.trendmicro.com/pwn...)
  2. OpenNews: Firefox не примет участие в соревнованиях Pwn2Own 2016
  3. OpenNews: На соревновании Pwn2Own 2015 продемонстрированы взломы Firefox, Chrome, Safari и IE
  4. OpenNews: На соревновании Pwn2Own 2014 продемонстрированы взломы Chrome, Chrome OS, Firefox, IE, Safari и Flash
  5. OpenNews: На соревновании Mobile Pwn2Own продемонстрирован успешный взлом браузера Chrome
  6. OpenNews: Новая инициатива по поиску уязвимостей в Google Chrome с бюджетом в 1 миллион долларов
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/45896-pwn2own
Ключевые слова: pwn2own
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (31) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, ОлдФак (ok), 09:50, 22/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Т.е. локальный взлом убунты, в несколько раз дешевле тех самых нами нпорицаемых за дырявость и корявость, систем?

    Непонятно...

     
     
  • 2.3, V_ctor (?), 10:27, 22/01/2017 [^] [^^] [^^^] [ответить]  
  • +13 +/
    По мне как раз логично. Кому интересен локальный взлом убунты, которая стоит у полутора гиков образно говоря? Что с ним делать кроме как передать разрабат на закрытие? То ли дело венда - раздолье для (анти)вирусопейсателей , где каждый сможет заработать себе на хлеб с икрой.
     
     
  • 3.6, ОлдФак (ok), 11:19, 22/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Может и так, я просто думал что платят за сложность так сказать взлома продукта. А тут всё ж как никак линукс кернел. Но если исключительно оплата прикладной важности, то вполне согласуемо.
     
     
  • 4.9, Аноним (-), 11:43, 22/01/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я все же думаю, что сложность тут играет бОльшую роль. Одно дело взломать сервер удаленно и совсем другое локальный взлом.
     
     
  • 5.17, Аноним (-), 14:36, 22/01/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    о тож.. в последнее время достаточно много локальных взломов в ядре, которые многие годы на находились..
     
  • 5.50, Санта (?), 09:42, 28/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> взломать сервер удаленно и совсем другое локальный взлом

    VPS?

     
  • 3.15, Линукс еще не готов (?), 12:23, 22/01/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Андроид тоже линукс, а там много вкусного
     

  • 1.4, Аноним (-), 10:52, 22/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Adobe Reader, Хм. Не знаю как в целом по СНГ, а у нас в городе он уже непопулярный. В нашем городке ребята, переустанавливающие Windows, устанавливают Foxit Reader, а на новых ноутах похоже нет ридера вообще.
     
     
  • 2.7, тоже Аноним (ok), 11:41, 22/01/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Я лет десять назад тоже пытался сделать эту замену.
    Не знаю, как сейчас, а тогда быстро выяснилось, что, например, заполнить PDF-форму заявления на загран в Foxit невозможно.
     
     
  • 3.39, Аноним (-), 10:36, 23/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, невозможно это сделать и в некоторых версиях Acrobat-а. Говорят, "ищите другие версии, а то в вашей анекете вместо букв квадратики и макросы не срабатывают".
     
     
  • 4.40, тоже Аноним (ok), 11:07, 23/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Признаться, последний раз я это делал буквально полгода назад, причем в Okular.
    Никаких "квадратиков", пропадания надписей и прочих плюх не встретилось.

    Правда, уже в УФМС оказалось, что я зря полагался на форму с сайта то ли Гаранта, то ли Консультанта. Потому что все в очередной раз поменялось, а информационный век в государственных службах все еще встречает могучее бюрократическое сопротивление. Даже часы работы УФМС невозможно узнать в интернете... то есть узнать-то можно, но полагаться на эту информацию не стоит.

     
     
  • 5.45, Аноним (-), 17:58, 23/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Миллион лет назад заполнял заявление на загран через госуслуги. Еяннп, pdf не использовался вообще. А время посещения офиса назначили с точностью до часа, и удивительно, без очереди принимали тех, кто с "госуслуг", а ретрограды с бумагами сидели в очереди на стульчиках и тряслись, "а не закроется ли раньше сегодня офис".
     
     
  • 6.48, тоже Аноним (ok), 18:36, 23/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Дефолт-сити - город упертых максималистов. Мы уже привыкли.

    Так, для плавного спуска с радуги:
    "Внимание!
    Уважаемые Пользователи! Сообщаем, что на текущий момент по информации от МВД России оплата государственной пошлины для данной услуги недоступна."
    (с) Госуслуги

    Предлагаю эксперимент: попробуйте быстренько нагуглить, как получить загран в соседнем областном центре - Владимире. Официальный сайт УФМС, для начала...

     
     
  • 7.49, butcher (ok), 18:45, 23/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Точно так же, на госуслугах оформляете заявление. Его рассмотрят и пришлют вам квитанция для оплаты.
     
  • 2.23, arka (ok), 20:11, 22/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Foxit пока ещё не полная замена акробату, постоянно падает на каких-то файлах, столкнулся с этим на е-билетах и посадочных нескольких авиакомпаний
     
     
  • 3.31, . (?), 00:28, 23/01/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Для Д,Б!(С) - ну для тебя короче, Foxit - _вообще_не_замена акробату ... прикинь?! :)
     

  • 1.5, vantoo (ok), 11:13, 22/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Из браузеров FF дешевле всех оценивают.
     
     
  • 2.8, Уже готов (?), 11:41, 22/01/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Спасибо
     
  • 2.10, тоже Аноним (ok), 11:45, 22/01/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Из браузеров FF дешевле всех оценивают.

    Я так понимаю, насколько проспонсировано - настолько и оценивается.
    Берусь с уверенностью предположить, кто именно оплатил премии за взлом Linux и Apache...

     
  • 2.44, Аноним (-), 16:27, 23/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Песочницы нет.
     

  • 1.18, Аноним (-), 14:38, 22/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Апач не нужен уже почти.
     
     
  • 2.19, God (?), 16:35, 22/01/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Разработчики Апача напоследок заработают на взломе собственного кода, а потом выбросят его на помойку, когда он будет полностью неуязвимым
     
  • 2.20, Аноним (-), 17:04, 22/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Subversion over HTTPS как поднимать без апача?

    Апач это сервер приложений, а какой-нибудь nginx это реверс-прокси для самостоятельных приложений на python/node.js/go. Это камень в огород SVN, конечно, но пока у меня апач похоронить не получается.

     
     
  • 3.21, anonymous (??), 17:53, 22/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Если прям очень хочется выбросить apache, можно какой-нибудь trac использовать как веб-морду, у него внутреннее проксирование SVN в HTTP.
     
  • 3.29, Аноним (-), 22:02, 22/01/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А зачем именно SVN?
     
  • 2.41, Аноним (-), 11:34, 23/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Каждой мелочи своё приложение, в отдельном контейнере, не дадим экологом бороться с глобальным потеплением! ЗА пляжный отдых в Мурманске!
     
     
  • 3.46, Аноним (-), 18:00, 23/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >  не дадим экологом бороться с глобальным потеплением!

    Единственный, за долгое время, здравый лозунг на опеннете.

     

  • 1.22, Аноним (-), 18:33, 22/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что мне не нравится на opennet.ru.
    Нет новостей про инновации, зато есть новости о релизах опенсорсных да к тому же ещё и не мейнстримных проектов, у которых среди сдешних читателей три пользователя от силы наберётся.

    Не дают комментировать новости про ReactOS от Анонима, какое же это открытое ощебщение, Максим? Если на то пошло, то можно об это проекте новости не пропускать, всё равно проект мёртв, они и Win XP даже через 10 лет не напишут, а как далеко вперёд за это время уйдёт MicroSoft? А если им дадут денег, чтобы они наняли разработчиков и сделали качественный продукт, их Microsoft прихлопнет по суду. Этот проект сплошная потеря времени. MS умудряются наезжать даже на Линукс, хотя сами большинство идей первоначально попросту украли у других, а ReactOS - копия Windows, точнее хочет ей стать. Им конец в любом случае. И новости про их проект здесь не нужны. Они выглядят как глупая провокация.

     
     
  • 2.26, Аноним (-), 20:22, 22/01/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Мне нравится читать про вышедшее по. Даже если я не планирую им пользоваться. Можно неплохо отвлечься от насущных рабочих проблем и просто пообсуждать что-нибудь несуществкнное. Всякие там де или языки,пульсу и ядра. Тут так уже много лет.
    Ну и пусть реактось не выйдет. Главное что парни стараются. А еще здорово что тут почти не обсуждают хохлов и трампа.
     

  • 1.42, commiethebeastie (ok), 12:41, 23/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А за удаленный эксплоит lsass.exe сколько платят? Выездом на место ФБР и АНБ?
     
  • 1.43, Аноним (-), 12:54, 23/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "удалённую эксплуатацию Apache httpd".
    тьху.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру