رقابت های مسابقات کنفرانس Pwn2Own در هفته ی گذشته به پایان رسید و در آن مسائل امنیتی و آسیب پذیری سیستم های مختلف مشخص شد. در سومین و آخرین روز از کنفرانس، هکرها موفق به هک مرورگر Edge مایکروسافت شدند و با استفاده از ایجاد اختلال در ماشین مجازی آن را شکست دادند.
مایکروسافت مقابل حملات شکست خورد
شرکت امنیتی چینی به نامQihoo 360 که برای اولین بار در این رقابت ها شرکت کرد؛ موفق به کسب 105,00 دلار، برای تشخیص آسیب پذیری و ایجاد اختلال در ماشین های مجازی VMware شدند. روند کار تیم که باعث پیروزی آنها در اولین رقابتشان شد را میتوان، نفوذ به پشته ی مرورگر، ایجاد سردرگمی در ویندوز و مانع شدن در تخصیص بافر در ایستگاه کاری VMware اعلام کرد. لازم به ذکر است که این تیم، تنها تیمی نبود که موفق به حمله و شکست مرورگر مایکروسافت شد. تیم امنیتی Tencent نیز طی یک روز، این مرورگر را هدف قرار داد و با استفاده از اشکالات منطقی مرورگر موفق به ایجاد اختلال در بخش Sandbox شد. در روز آخر رقابت ها نیز این شرکت امنیتی، ایستگاه کاری VMware را هدف قرار داد و با استفاده از 3 اشکال امنیتی موفق به ایجاد اختلال در ماشین مجازی سیستم شد.این تیم موفق به کسب 100,000 دلار به ازای حملاتش در این رقابت ها شده است.
چرا اختلال در ماشین مجازی باعث شکست سیستم در حملات میشود؟
ماشین های مجازی سیستم در سازمان های امنیتی، اهمیت زیادی دارند و از دسترسی اطلاعات سرور توسط افراد جلوگیری میکند. همچنین محتوایی که قابل اعتماد نیستند را تشخیص میدهند. در نتیجه امنیت سازمان ها به عملکرد این ماشین های مجازی بستگی خواهد داشت؛ پس کوچکترین اختلالی در روند آن، کل سیستم را به خطر می اندازند و سیستم به راحتی قابل هک خواهد شد. این اولین سالی بود که محققان به ماشین های مجازی حمله کردند و این نشان میدهد که هر چیزی که به اینترنت متصل باشد آسیب پذیر است. علاوه بر این ها، تیم امنیت Qihoo با استفاده از یک اشکال در جاوا اسکریپت مرورگر مایکروسافت، موفق به دسترسی به Sandbox شدند و توانستند به کمک باگهای ویندوز 10 سیستم را شکست دهند.با توجه به اشکالاتی که در مرورگر Edge پیدا شد، میتوان اینطور نتیجه گرفت که ادعای مایکروسافت مبنی بر امنیت بالای مرورگرش قابل قبول نیست. اما مرورگر مایکروسافت تنها سیستمی نبود که هدف قرار گرفت؛ علاوه بر آن اشکالاتی در Flash، macOS، Safari، Ubuntu و دیگر پلتفرم ها یافته شد.
سلام من اصلا از مرورگر خود مایکروسافت استفاده نمیکنم فقط کروم اگر در دسترس نبود فایرفاکس حالاهم که اسیب پذیر بودنش ثابت شد
جالب بود:-bd:-bd
این کنفرانس بههمینخاطر برپا میشه که باگها و حفرههای امنیتی کشف بشه.
مرورگرهای دیگر مثل کُروم و سافاری هم بودند و بهشون حمله شد و موفقیّتآمیز هم بود.
سیستمعاملهای macOS و توزیعِ Ubuntu هم، حفرههای امنیتی داشتند.
به ویندوز هم حمله شد، که برای دفعات بعد موفیّتآمیز نبود.
ــ باید از کُمپانیهای مربوطه و هکرها، بهخاطر این کارها و سرمایهگذاریها تشکّر کنیم.
(سایت غلطانداز تیتر زده و باعثِ گمراهی میشه.)
مایکرو گند زد:-))
منم قبولش نداشتم ولی یه مدت نشستم باهاش وبگردی کردم مرورگر خفنیه سرعتشم خیلی خوبه ..بحث بهتز از این و اون نیست …ولی تو سرعت چیز خاصی کم نداره ..یه مدت باهاش کار کن …کمبودایی داره مسلما ولی مرورگر خوبه .. IE که کلن از همون اول اشغال بود من نمیدونم چرا روش این همه پافشاری هم میکردن .کلن از ریشه داغون بود
چه پافشاری داره مایکروسافت برای استفاده از مرورگر ویندوز اون از IE که نقش نخودی بود اینم ملت عقل دارند با وجود فایرفکس و کروم یا اوپرا کی میاد سمت این آخه
البته حملات بعدیِ Tencent Security به مرورگر Edge موفقیّتآمیز نبود.
به توزیع Ubuntu که مدّعی هست، چندبار حملهی موفّق داشتند.
مرورگر Chrome و Apple Safari و macOS هم همینطور.
بعد از حملههای متعدد به ویندوز هم، چون نتیجهای درپی نداشت، از حمله بِهِش کنار کشیدند.
ــ بهتر بود که این کنفرانس رو بهتر گزارش میکردید، نه اینکه فقط به یک نرمافزار بپردازید، چون بقیهی محصولات هم یکسری اشکالات داشتند.