microsoft edge - logo
56

Pwn2Own 2017: Chrome nietknięty, Edge rozstrzelany

Dziesięciolecie imprezy, na której wyszukuje się podatności w popularnym oprogramowaniu nie było zbyt szczęśliwe dla przeglądarki Microsoftu. Inne propozycje radziły sobie lepiej, a ponadto - Chrome, pomimo prób w ogóle nie został tknięty przez żadną z drużyn.

W czasie ostatniej imprezy Pwn2Own, Microsoft Edge stał się ofiarą dwóch ataków hakerów, przy czym jego konkurent – Chrome ugiął się pod działaniami tylko jednej drużyny. Wynik, jaki wtedy uzyskała przeglądarka Microsoftu był nieco lepszy od Safari, czy Internet Explorera, jednak to żadne pocieszenie w kontekście najnowszej edycji konkursu. Tym razem, Edge złamano aż pięć razy.

Doświadczonym ekspertom ds. cyberbezpieczeństwa udało się m. in. uciec z sandboksa zaszytego w przeglądarce, a także wykorzystać lukę w jądrze systemu Windows, która zezwoliła na podniesienie uprawnień użytkownika. To bardzo niepokojąca informacja – okazuje się, że nie tylko Microsoft Edge ma problemy z bezpieczeństwem. Również Windows 10 skrywa w sobie pewne podatności, które mogą zostać wykorzystane celem uzyskania kontroli nad dowolną aplikacją, a w efekcie tego – również nad całą maszyną. Czy to oznacza, że oprogramowania Microsoftu nie jest tak bezpieczne, jakby się mogło wydawać? Nie jest to takie jednoznaczne – na pewno gigant ma problem z łataniem na bieżąco wszystkich odkrytych podatności.

pwn2own

Firefox wraca do Pwn2Own po nieobecności w tamtym roku

W tamtym roku, Firefox nie był brany pod uwagę w konkursie głównie dlatego, że był stanowczo zbyt prosty do złamania. Teraz, po dodaniu sandboksowych rozwiązań, przeglądarka Mozilli wreszcie może być wyzwaniem. Udał się tylko jeden atak – ale tylko z tego powodu, że… wykorzystano lukę w jądrze systemu Windows.

Safari również nie może być zadowolone ze swoich osiągów w trakcie tegorocznego Pwn2Own. Przeglądarka została udanie zaatakowana 3 razy, przy czym w jednej z prób wykorzystano aż 6 różnych błędów prowadzących do uzyskania uprawnień roota w systemie macOS.

Chrome obronił się książkowo

W trakcie imprezy przeprowadzono tylko jeden, nieudany zresztą atak na Chrome. Nie udało się go wykonać w trakcie regulaminowego czasu. Eksperci wskazują na to, że być może Google wcześniej odkryło możliwość wykorzystania pewnego błędu i załatało go, czyniąc exploita bezużytecznym.

Warto jednak pamiętać o tym, że tego typu imprezy wcale nie pokazują rzeczywistego poziomu bezpieczeństwa w danych programach. Prezentowane wyżej przeglądarki nie cieszyły się równym zainteresowaniem ze strony uczestników konkursu – nie wiadomo zatem, czy kilka ataków na Chrome nie skończyłoby się pełnym powodzeniem, co zmieniłoby nieco układ sił. Niemniej, patrząc na wynik Edge należy stwierdzić, że przed Microsoftem jest jeszcze długa droga do tego, aby jego oprogramowanie było naprawdę bezpieczne. Niepokojącym faktem jest to, że wiele dróg do zaatakowania Edge wiodło przez… Windowsa.