microsoft edge - logo
56

Pwn2Own 2017: Chrome nietknięty, Edge rozstrzelany

Dziesięciolecie imprezy, na której wyszukuje się podatności w popularnym oprogramowaniu nie było zbyt szczęśliwe dla przeglądarki Microsoftu. Inne propozycje radziły sobie lepiej, a ponadto - Chrome, pomimo prób w ogóle nie został tknięty przez żadną z drużyn.

W czasie ostatniej imprezy Pwn2Own, Microsoft Edge stał się ofiarą dwóch ataków hakerów, przy czym jego konkurent – Chrome ugiął się pod działaniami tylko jednej drużyny. Wynik, jaki wtedy uzyskała przeglądarka Microsoftu był nieco lepszy od Safari, czy Internet Explorera, jednak to żadne pocieszenie w kontekście najnowszej edycji konkursu. Tym razem, Edge złamano aż pięć razy.

Doświadczonym ekspertom ds. cyberbezpieczeństwa udało się m. in. uciec z sandboksa zaszytego w przeglądarce, a także wykorzystać lukę w jądrze systemu Windows, która zezwoliła na podniesienie uprawnień użytkownika. To bardzo niepokojąca informacja – okazuje się, że nie tylko Microsoft Edge ma problemy z bezpieczeństwem. Również Windows 10 skrywa w sobie pewne podatności, które mogą zostać wykorzystane celem uzyskania kontroli nad dowolną aplikacją, a w efekcie tego – również nad całą maszyną. Czy to oznacza, że oprogramowania Microsoftu nie jest tak bezpieczne, jakby się mogło wydawać? Nie jest to takie jednoznaczne – na pewno gigant ma problem z łataniem na bieżąco wszystkich odkrytych podatności.

pwn2own

Firefox wraca do Pwn2Own po nieobecności w tamtym roku

W tamtym roku, Firefox nie był brany pod uwagę w konkursie głównie dlatego, że był stanowczo zbyt prosty do złamania. Teraz, po dodaniu sandboksowych rozwiązań, przeglądarka Mozilli wreszcie może być wyzwaniem. Udał się tylko jeden atak – ale tylko z tego powodu, że… wykorzystano lukę w jądrze systemu Windows.

Safari również nie może być zadowolone ze swoich osiągów w trakcie tegorocznego Pwn2Own. Przeglądarka została udanie zaatakowana 3 razy, przy czym w jednej z prób wykorzystano aż 6 różnych błędów prowadzących do uzyskania uprawnień roota w systemie macOS.

Chrome obronił się książkowo

W trakcie imprezy przeprowadzono tylko jeden, nieudany zresztą atak na Chrome. Nie udało się go wykonać w trakcie regulaminowego czasu. Eksperci wskazują na to, że być może Google wcześniej odkryło możliwość wykorzystania pewnego błędu i załatało go, czyniąc exploita bezużytecznym.

Warto jednak pamiętać o tym, że tego typu imprezy wcale nie pokazują rzeczywistego poziomu bezpieczeństwa w danych programach. Prezentowane wyżej przeglądarki nie cieszyły się równym zainteresowaniem ze strony uczestników konkursu – nie wiadomo zatem, czy kilka ataków na Chrome nie skończyłoby się pełnym powodzeniem, co zmieniłoby nieco układ sił. Niemniej, patrząc na wynik Edge należy stwierdzić, że przed Microsoftem jest jeszcze długa droga do tego, aby jego oprogramowanie było naprawdę bezpieczne. Niepokojącym faktem jest to, że wiele dróg do zaatakowania Edge wiodło przez… Windowsa.

  • zakius

    Zaraz wpadnie zakius i wytłumaczy nam wszystkim dlaczego Chrome to najbardziej niebezpieczna i nieużywalna przeglądarka.

    • Krzepki Harry

      Wolę zakiusa z zestawem jego poglądów na kilka tematów, niż jakiegoś anonimowego trolla podpisującego się cudzym nickiem.

    • Seba

      W zasadzie dziwi mnie nie chęć atakowania Chrome. Może już normalni ludzie się nie interesują szpiegami od google. 😂

    • lękamSięTravisa

      Po co się narażać Google Project Zero :)

  • Optymista1

    Przepraszam proszę pana ,ale mam wrażenie ,że ma pan aktualnie przekonania że : Apple 👍, Microsoft 👎.
    Kto się zgadza łapka w górę ( nie jestem youtuberem :) )

    • Zdecydujecie się, przecież jestem fanbojem MS…

    • Raczej sercem nadal jesteś po stronie Apple

    • Oj, dzieciaki pierwszy raz cię czytają i nie pamiętają dawnych czasów ;)

    • Optymista1

      Dobra, po przemyśleniu sprawy może przesadziłem z tym Microsoftem, przyznaję ,ale na pewno przeszedł pan na drugą stronę barykady np: artykuł o AirPodsach do którego pana kolega zrobił kotrartykuł, mający wg. mnie więcej racji

    • Ale ja wszędzie krytykuję AirPodsy… :D

    • Optymista1

      Chodziło mi bardziej o to że w http://antyweb.pl/apple-airpods-perfekcjonizm/ nazwał pan „perfekcjonizmem Apple” eliminowanie rozjeżania się dźwięku i scenariuszów użytkowania co jest… Fajnie to ujął pana kolega z redakcji: http://antyweb.pl/problemy-apple-airpods/

    • Bo to jest „perfekcjonizm”, natomiast jest to bardziej objaw buty Apple (w kontekście opóźnionej premiery słuchawek), niż realnej troski. ;)

    • Dlatego należy z dystansem podchodzić do tego co piszą blogerzy i fanboys Apple bo wartość tego jest tak subiektywna jak tych co od 10 lat trollują zachwalają GNU/Linux a jednocześnie korzystali z pirackiego XP/7 :)

    • Tu cię zasmucę, od kilku lat nie korzystam z Windowsa. Moja praca pozwala mi na całkowite porzucenie Windowsa, wszystko mam na Linuksie, wszystko w pełni legalne.
      Aha, ci co używają pirackiego Windowsa to najgorsi przeciwnicy Linuksa. Opowiadają o tym jak codziennie kernele kompilowali, jak sterowniki instalowali, kiedyś jeden mi opowiadał, że co 5 minut dawał Ctrl+Alt+Del, żeby odpalić menadżer zadań bo się coś wieszało. Co tam że pod tym skrótem nie ma menadżera zadań. Co tam że w Linuksie nie ma menadżera zadań…

    • IdontgiveaF

      Co tam że w Linuksie nie ma menadżera zadań…

      To się człowiek ciekawych rzeczy dowie ;) Na dysku mam minimum 3 różne menadżery, z czego dwa instalują się domyślnie chyba z każdą dystrybucją.

    • Nose4s

      Adrian prawdopodobnie miał na myśli, że nie ma „menadżera zadań” takiego jak na windowsie, właśnie znanego jako „menadżer zadań”. Na linuxie są oczywiście menadżery, a konkretnie menadżery/monitory SYSTEMU, nie zadań. Sam korzystam z mate-system-monitor, bardzo przyjemny.

    • Tavin

      W KDE jest monitor systemowy (KSysGuard) i skrót do niego to ctrl + esc

    • IdontgiveaF

      W linuksie z definicji skrót masz taki, jaki sobie zażyczysz, nie trzeba się trzymać tego, co domyślne. Chesz ctrl+alt+del, będziesz miał ctrl+alt+del ;)

      Swoją drogą w Windowsie od czasów win 7, skrót ctrl+alt+del nie przywołuje menadżera zadań, robi to ctrl+shift+esc

      Zresztą po co linuksiarzowi graficzny menadźer gdy ma do dyspozycji kombinację ps+(h)top :P W komplecie z pkill i pgrep nie ma lepszej metody zarządzania procesami ;)

    • W Linuksie ma to kompletnie inną nazwę – monitor systemu, top, htop itp.
      No i nie ma wała, żeby ruszyło to pod Ctrl+Alt+Del.

    • IdontgiveaF

      Generalnie to się przecież tylko przekomarzam ;), ALE

      W Linuksie ma to kompletnie inną nazwę – monitor systemu, top, htop itp.

      tu nie chodzi o nazwę tylko o funkcję. https://en.wikipedia.org/wiki/Task_manager
      Czyli Windows Task Manger to task manager, ale nie każdy task manager to Windows Task Manager :)

    • Tylko że ta nazwa jest wykorzystywana w Windowsie, Linux posiada Monitor systemu. Fajnie, że te programy mają taki sam cel, ale warto stosować poprawne nazwy. Jeśli ktoś nie zna poprawnych nazw i jeździ po Linuksie, to chyba coś jest nie tak.

    • gom1
    • bill

      Gratulujemy linuksowi takiego menedżera zadań.

    • No, tamten inteligent akurat pisał o Ubuntu.

    • Buhahaha ty nawet jako inwalida i ślepy byś trollował Linux bo twoja praca to pitolenie bzdur na blogach i do tego w zupełności przeglądarka wystarcza i dowolny system z połączeniem do netu :D
      Poucz się do szkoły i odrób lekcję bo o pracy i oprogramowaniu raczej mało wiesz jak się czyta takie pierdoły kolejnego trolla linuksiarza

    • To nie tylko pisanie. Zajmuje się różnymi rzeczami, np. montowaniem filmów, edycją grafiki itp.
      Kdenlive niedawno wyszedł na Windowsa i jest uznawany za świetny zamiennik Vegasa. Do grafiki mam GIMP-a. Na nim się uczyłem, znam go lepiej niż niejeden mistrz painta Photoshopa. Z tym GIMPem były już niezłe jaja. Kiedyś na pewnym egzaminie musiałem przerobić grafikę w Photoshopie. Uczyłem się tego, ale miałem problemy ze znalezieniem odpowiednich funkcji. Uratował mnie GIMP, który był akurat zainstalowany.
      Poza tym od zawsze używam Firefoksa. Mam synchronizację na wszystkich urządzeniach i nie zmienię tego. O dziwo Firefox zdecydowanie lepiej działa na Linuksie, kwestia optymalizacji. To tak jak z grami na Windowsie i Linuksie, może i Ubuntu szybciej przetwarza dane, ale optymalizacja gier pod ten system leży. Choć się da, dobrym przykładem jest Quake.
      No i kwestia bezpieczeństwa, mój laptop jest nie do zdobycia – zawsze aktualny system stworzony bardziej dla serwerów niż PC.

    • Wybacz ale pierdoły podobne czytam od 10 lat i ten sam tekst o linux czy Gimp żywcem kopiowany regularnie tylko nick się zmieniają
      ps.
      Wybacz ale z Ubuntu , Lubuntu,Debian,Fedora, Mandriva czy Xtreme korzystałem od bardzo dawna i z tych cudownych bubli aplikacji jak Gimp , LO itp.itd to wszystko śmiecie ułomne archaiczne do zabawy dla 13 latka a nie do pracy vs . MS i programy profesjonalne dla MS

    • Jakie programy profesjonalne masz na myśli?

    • To nie twoja liga i poziom abyś kupił bo cię nie stać jak gimp z popzredniej epoki cię zadawala lub inne g*no LO masz za MS Office

    • Znajdź mi przydatną funkcję obecną w MS Office i nieobecną w Libre Office. No właśnie.
      Podaj mi zastosowanie Photoshopa przy którym nie wyrobi GIMP.
      Jakiś rok temu pracowałem nad własnymi animacjami 2D. Plan był taki, aby robić kreskówki dla dorosłych, tylko czasu zabrakło. Mimo tego zaprojektowałem całe miejsce akcji, postacie i część animacji. Wszystko na Linuksie, z programów GIMP i Synfig. Wcześniej chciałem robić kreskówki 3D, ale przerosło mnie przeładowanie funkcjami innego programu na Linuksie – Blendera.
      Na YT znajdziesz kreskówkę Big Buck Bunny. Wiedz, że w całości postała na Linuksie, jako pokaz możliwości otwartego oprogramowania.

    • doogopis

      Ta a wcześnie snuliście teorie jak to Jakub Sz. został wysłany z Microsoftu w paczce. Nie lubie teorii spiskowych.

    • qwerty

      „Nie lubie teorii spiskowych”
      Buahahahhahaa. Zrobiłeś mi wieczór :)

    • doogopis

      Ja przynajmniej potrafie u kogoś wzbudzić pozytywne reakcje,jak nawet śmiech. A śmiech to zdrowie. Bo ty jesteś tylko żałosny. Bo nic więcej do roboty i do powiedzenia nie masz.

    • qwerty

      I znów masz rację!
      Oj wzbudzasz pozytywne reakcje, a szczególnie śmiech. Dlatego czasem cię do nich sprowokuję :) Ja akurat nie mam internetowych potrzeb wzbudzania u innych pozytywnych reakcji, a swoje już się z tobą nadyskutowałem. Rób mi dalej wieczór, nasza antywebowa maskotko :)

    • doogopis
    • qwerty

      Poopowiadaj jak to jest, że widać że słońce zachodzi pod horyzont, ale my tego nie rozumiemy, że ono się oddala i znika z widzenia. Ten temat przebija chyba wszystkie inne :)

    • doogopis

      Akurat nie ma zwyczaju pisać o tym pod tematami nie tyczącymi sie kosmosu.

    • qwerty

      No ta, bo powyżej obrazek z Kopernikiem to dotyczy pewnie psychologii albo jakiejś innej biologii.
      Buaahahhahahaa pokemonie.

    • johny

      „Nie lubie teorii spiskowych.”

      Tzn, że ziemia już nie jest płaska, a Kopernik miał jednak rację ?

    • doogopis
  • Daniel

    No MS ma problem i to poważny. Zanim Windows 10 wszedł na rynek była mowa, że MS porzuca dotychczasowe metody aktualizacji i łatania błędów. Aktualizacje będą wydawane w momencie kiedy zostanie błąd naprawiony…. A jak jest? Czeka się na miesięczny patch lub inaczej nazywany zbiorowa paczka aktualizacji zabezpieczeń/…. . Więc nie ma się co dziwić, że Edge ma jakąś słabą obronę jak musi czekać na aktualizacje zbiorowe a nie jak inne przeglądarki np. Chrome aktualizacje kilka razy w miesiącu naprawiąjące luki. Jestem ciekaw czy MS weźmie rady Insiderów by Edge był aktualizowany przez Windows Store a nie przez WU.

    • Optymista1

      Właściwie mają tak zrobić tylko ,że „soon”

  • Śmiać mi się chce z tych pseudo hackerów co na takim mitingu na wcześniej spreparowanej stronie i nie aktualizowanej przeglądarce robią jakiś włam
    Ciekawe czy Ci pajace pseudo hackerzy coś by zrobili na prywatnym moim komputerze który dostaje wszystkie aktualizacje systemu i przeglądarki bo zakładam na 100% że by się usrali po pachy a nie włamali gdziekolwiek :)
    ps.
    Dwa lata temu gdy przed podobną imprezą wykonano zmiany komputerów na nowe z aktualizacjami to kolesie dali d*y i nie chcieli się już bawić a jeden śmiałek nie dał rady z MS
    ps.
    Uczciwą konkurencją było by pokazanie jak szybko Androsyf daje ciała z tymi lukami dziurami od 5 lat a Chrome to jedno wielkie szpiegujące G*no i dziurawe jak sito podobnie jak ten OSX/iOS od Apple niszowe dziadostwo w którym wady problemy zamiata się pod dywan

    • Na tej imprezie nie ma pseudohakerów. Serio. ;)

    • To zabawa i wszystko ustawione jest pod konkretną lukę na której chłoptasie się nauczyli wjechać
      Daj im nowy laptop przed imprezą z aktualizacją a się usrają po pachy i żadnego Edge nie złamią jak za rok może jak nowa luka będzie

    • Heweliusz

      Czy Ty nie powinieneś jednak zostać prezydentem wszechświata? oraz najmądrzejszym bytem w kosmosie?

    • johny

      Powinien zostać nauczycielem w gimnazjum. Odpowiedzialnym za wychowanie młodzieży.

    • doogopis

      I dlatego masz telefon z androidem! Każdy wie że tylko google szpieguje,orły z MS nie.
      Luki,syf,trojany,to jednak Windows a nie android.

    • Polecam wizytę u dobrego specjalisty lekarza i odstaw te psychotropy bo faktycznie pomieszały ci realny świat
      Bezpieczny Androsyf ….Buhahaha a to mnie rozbawiłeś jak inne pokemony

    • Na tej imprezie wszystkie przeglądarki i systemy są aktualne. Z tego powodu jeden exploit nie wypalił.
      Mogą się przygotowywać do ataku, bo to może zająć mnóstwo czasu. Mogą przygotować swoje narzędzia, mają tylko wykazać że włamanie jest możliwe.

    • Zakładam że nie masz pojęcia o czym piszesz bo dwa lata temu chłoptasie odmówili zabawy na nowych komputerach z najnowszym systemem i przeglądarką
      ps.
      Jak napisałem , zabawa dla dzieciaków na potrzeby hejtowania MS a na tym ma zyskać Google i Apple bo tak się swoje problemy zamiata pod dywan i daje temat gówniarzom do pisania farmazonów w sieci gdy w tym czasie cały ten Linux to jedno wielkie mega G*no i bubel od 10 lat.

  • Nose4s

    Serio, Szczęsny? Czy ty właśnie zasugerowałeś, że win10 jest/był w jakikolwiek sposób bezpieczny?

    „Czy to oznacza, że oprogramowania Microsoftu nie jest tak bezpieczne, jakby się mogło wydawać? ”

    Jakim cudem mogło ci się coś takiego w ogóle wydawać?

    • johny

      Każda reklama to mówiła, KAŻDA.

    • Nose4s

      No, naprawdę, reklamą się powinniśmy sugerować. :)

  • noim

    ahh ten bezpieczny syfos xD

    „Safari również nie może być zadowolone ze swoich osiągów w trakcie
    tegorocznego Pwn2Own. Przeglądarka została udanie zaatakowana 3 razy,
    przy czym w jednej z prób wykorzystano aż 6 różnych błędów prowadzących
    do uzyskania uprawnień roota w systemie macOS.”

    no ale po co malware ma wykradac zdjecia pedalow z selfie w lazience

  • Sebastian Piotrowski

    Autorze, a masz może jakiegoś linka do raportu albo rankingu bezpieczeństwa rzetelnie prezentującego ranking bezpieczeństwa przeglądarek (nie tylko głównej czwórki)?