В рамках конференции по безопасности CanSecWest в Ванкувере, Канада, прошёл десятый по счёту ежегодный турнир хакеров Pwn2Own. Организатором и спонсором этого мероприятия является организация Zero Day Initiativ, созданная японской компанией-разработчиком программного обеспечения для кибербезопасности Trend Micro. В этом году призовой фонд Pwn2Own составил более 1 миллиона долларов. В первый же день турнира хакеры с успехом взломали браузеры Microsoft Edge и Safari, приложение Adobe Reader и операционную систему Linux. Важно отметить, что в этом году организаторы Pwn2Own впервые добавили в список Linux и, в частности, дистрибутив Ubuntu 16.10 Linux.
Лаборатория безопасности Chaitin Security Lab получила награду в размере 15 тысяч долларов за взлом Ubuntu 16.10. Прямо на сцене Pwn2Own был продемонстрирован взлом с помощью уязвимости в ядре Linux 4.8, используемом в дистрибутиве Ubuntu 16.10. Сама уязвимость была активирована исследователем в области безопасности, который имел только базовый пользовательский доступ, но сумел получить root-права и стать суперпользователем, повысив тем самым привилегии обнаруженной уязвимости. Компания Canonical, являющаяся ведущим коммерческим спонсором Ubuntu, уже была уведомлена о найденной уязвимости.
Помимо взлома Ubuntu, исследователи из Chaitin Security Lab продемонстрировали в действии эксплойт, состоящий из шести отдельных ошибок, и получили таким образом root-права на macOS, а также приз в размере 35 тысяч долларов. Специалисты в области безопасности Сэмюэл Гросс и Никлас Баумстарк выиграли 28 тысяч долларов за использование пяти ошибок, чтобы отобразить сообщение на сенсорной панели Touch Bar на ноутбуке MacBook Pro 2016 года. При этом жюри ZDI отнесло их взлом частично и к атаке на Safari и macOS.
"Они использовали use-after-free в Safari в сочетании с тремя ошибками логики и разыменованием нулевого указателя для использования Safari и получения рута в macOS. К сожалению, уязвимость use-after-free была исправлена в бета-версии браузера, обеспечив им таким образом только частичную победу", - рассказали организаторы.
Сразу двум командам удалось взломать Adobe Reader и объединить другие недостатки ядра Windows в своих атаках для получения повышенных привилегий на системном уровне. Исследователи из команды 360 Security заработали 50 тысяч долларов за серию найденных эксплойтов, а команда из китайской компании Tencent выиграла 25 тысяч долларов за использование новой уязвимости use-after-free, чтобы запустить выполнение кода. Кроме того, команда Tencent также смогла использовать браузер Microsoft Edge, использовав логическую ошибку, чтобы выйти из изолированной программной среды браузера, за что получила премию в размере 80 тысяч долларов.
Все компании, чей софт был взломан, получат подробные описания всех найденных уязвимостей.
Источник:
столько, сколько нужно )
Эти может и дырявые. Но windows намного дырявее.
В точку! Как то, не так давно, нашли уязвимость в ядре линукс, которая тянется еще с версий 2.хх (точно не помню уже), а это довольно большой срок. Так никто не пользовался ей, и даже не пытался обнаружить эту уязвимость, так как не популярная ОС. Теперь линукс становится всё популярнее, интерес хакеров повышается. Опять же, ОпенСурс способствует выявлению уязвимостей на довольно ранних стадиях.
говорить о количестве серверов на линукс в данной ситуации не совсем кооректно - простые обыватели, о которых говорится выше, с серверами дел не имеют. А процент машин с линуксом как рабочих станций или домашних ПК очень мал.
"Достаточно необычно выглядит ситуация с Linux, которая в прошлом стабильно занимала долю около 1,6—1,7%, но, например, летом 2016 года преодолела планку в 2%, а по итогам ноября заняла 2,31% рынка. Для сравнения, в октябре этот показатель составлял 2,18%."
а разве кто-то утверждал, что хакеру нужно взломать именно пользовательскую машину? Речь именно об ОС. Как раз сервера-то на мой наивный взгляд представляют куда большую ценность.
Ты линукс с bsd системами путаешь
а ты bsd с bdsm не путаешь? шапка, сюзя\слес - тоже бсдя?
Мяту забыли!!! :)
Сам пользуюсь Минтом, так что мимо.
Типичные слова красноглазого
"миллионы серверов на операционках с ядром Linux."
И доказательство, что линукс НЕ ДЛЯ ЛЮДЕЙ, а для железок.
Миллионы телевизоров, мобильников, роутеров,планшетов,мп3 плееров. холодильников, стиральных машин и прочей бытовой технике. Ядро везде. Это для конечныз пользователей не-специалистов.
Про бизнес молчу. Там ядра еще больше.
Давайте ещё андроид припишим к линуксу, ведь ядро же из той же серии кококо. Не стоит все сметать в одну кучу, конечный продукт везде разный. тот же андроид взламывается постоянно, а телевизоры и холодильники нафиг никому не сдались. Это я к тому, что если что-то еще не взламывалось, то просто не было необходимости.
З.ы. Интересно, что значит "там ядра ещё больше", видимо Вы и есть "конечный пользователь не специалист".
Я следую заветам RMSа. И называю Linux ом ядро.
И да, я причисляю Android к линукс базированным операционным системам.
Если я имею ввиду GNU/Linux я говорю GNU/Linux.
Линуксоиды как всегда пихают единственный аргумент повсюду "ко-ко-ко везде". Речь про ОС на ПК, где у линукса жалкие 2%. Хватит толдычить свою мантру про сервера и телевизоры в темах про ОС на ПК, точно больные.
А система и должна быть "для железок", камрад. Пользователю по барабану как там и чего, именно поэтому для него придумали пользовательский интерфейс взаимодействия с системой, а для совсем далёких от IT графический пользовательский интерфейс который предоставляет определённые неоспоримые удобства взаимодействия с самой машиной, заставляя при помощи установленного дополнительно ПО выполнять необходимые задачи.
В новости то речь об уязвимости на уровне ядра. Позволяющая получить root права на устройстве. То есть по иметь его. Современный телевизор или телефон много опаснее компьютера в качестве следящего устройства.
ну блин откуда вы с такими диванами беретесь.. Линукс ядро есть везде, практически и буквально, в каждом смартфоне на андроиде, в каждом Apple продукте, практически 90% серверов в своих операционках имеют ядро Линукс, а сейчас даже в десктопных системах есть линукс подобные системы где используется то же самое ядро
Походу Вы читать не умеете, я по моему русским по белому написал, что линукс становится более популярным, я не ни слова не написал о отсутствии ядра линукс в каких либо устройствах. И диван у Вас, У Эппл не линукс ядро, а вроде как юниксовое, это разные вещи. К уязвимостям в ядре нужен доступ из под ОС, в андроиде это практически невозможно реализовать. без рута. Так что умерьте свой пыл.
вы упомянули про уязвимость найденную в ядре и то что ее никто не нашел т.к. ОС не популярна, если есть уязвимость в ядре, она может быть реалиованна из любой ОС в которой это ядро работает и популярность тут не играет никакой роли, и рут права тут не нужны, на то она и уязвимость что бы повышать привелегии до рута.
В продуктах эпл ядро другое там не linux. Там unix
согласен не линукс, и даже не юникс если быть точнее, но все равно много общего
не дырявей тебя
Вообщем-то согласен, в любом случае весь софт общественного пользования представляет из себя одну сплошную дыру.
это правило работает в 2 стороны
К слову, данные уязвимости были найдены раньше, а это только выставка достижений.
Уже есть 4.10
ну не будут хакеры напрямую связываться с компаниями это не интересно и о них никто не услышит. для этого создают такие конференции + известность, денежный приз и соперничество - это основные мотивации этим заниматься.
(Комментарий удален)
(Комментарий удален)
(Комментарий удален)
(Комментарий удален)
(Комментарий удален)
(Комментарий удален)
Согласен нужно знать где искать и какими инструментами это делать
ядро linux - нет сплойта => Андройд, живите без root'а
iOS - нет сплойта => нет jaibreak'а
Лично я,более 4 лет не пользуюсь этим софтом и ему подобными. Жил на 7ке спокойно,перешёл ради интереса на 8.1,постоянно пользуюсь интернетом. Даже на работе и то на ХРюшке нету защитника. Не каких проблем не испытываю.
Создаете учетную запись с ограниченными привилегиями и шарься пока ктулху не фхтагн. По вашему предложению у меня аналогичное: зайдите из под root в систему и шарьтесь... Равноценное предложение кстати, в win вы изначально под root.