"Oscary" za luki w zabezpieczeniach

Podobnie jak w ubiegłych latach, podczas konferencji Black Hat w Las Vegas rozdane zostały nagrody Pwnie, którymi wyróżniani są odkrywcy luk w zabezpieczeniach w różnych kategoriach. Nagroda w kategorii najlepszego błędu po stronie serwera w tym roku trafiła do Medera Kydyralieva za wykrycie luki we frameworku Struts2. Używając żądania HTTP z pięcioma specjalnymi parametrami, udało mu się wykonać na serwerze dowolny kod Javy.

"Oscary" za luki w zabezpieczeniach

Podobnie jak w ubiegłych latach, podczas konferencji Black Hat w Las Vegas rozdane zostały nagrody Pwnie, którymi wyróżniani są odkrywcy luk w zabezpieczeniach w różnych kategoriach. Nagroda w kategorii najlepszego błędu po stronie serwera w tym roku trafiła do Medera Kydyralieva za wykrycie luki we frameworku Struts2. Używając żądania HTTP z pięcioma specjalnymi parametrami, udało mu się wykonać na serwerze dowolny kod Javy.

Najlepszą lukę po stronie klienta wykrył Sami Koivu: za pomocą własnego exploita podważył model bezpieczeństwa Javy i w ten sposób wykonał kod na prawach zalogowanego użytkownika. Zdaniem jury najbardziej innowacyjną pracą badawczą (PDF) była "Flash Pointer Inference and JIT Spraying" Dionysusa Blazakisa.

Obraz

Niewiele chluby firmie Absolute Software przyniosło wyróżnienie najbardziej lamerskiej reakcji producenta (Lamest Vendor Response): na informację o luce w zabezpieczeniach programu LANRev firma odpowiedziała następująco: "Czy teoretycznie możliwe jest wykorzystanie tej luki? Oczywiście, ale na razie żaden z naszych klientów nie zgłosił takiego problemu. Gdy tylko klienci wyrażą swoje wątpliwości, dostarczymy im odpowiedni patch".

Microsoft został wyróżniony w kategorii Most Epic FAIL. Błąd w filtrze XSS (Cross-Site Scripting) Internet Explorera 8 pozwala dokładnie na to, czemu filtr miał zapobiegać: atakom typu Cross-Site Scripting na stronach, które tak właściwie były całkiem bezpieczne.

wydanie internetowe www.heise-online.pl

Wybrane dla Ciebie

Najszybsze haubice świata w Ukrainie. FH77BW Archer gromi rosyjskie czołgi
Najszybsze haubice świata w Ukrainie. FH77BW Archer gromi rosyjskie czołgi
Mają 100 tys. lat. "Odkrycia są znacznie starsze, niż przypuszczano"
Mają 100 tys. lat. "Odkrycia są znacznie starsze, niż przypuszczano"
Większe wsparcie dla Ukrainy. Jasna deklaracja mocarstwa
Większe wsparcie dla Ukrainy. Jasna deklaracja mocarstwa
Ukraina straci ważnego dostawcę amunicji? Polityczna burza w Czechach
Ukraina straci ważnego dostawcę amunicji? Polityczna burza w Czechach
Ziemia za 250 milionów lat. Powstanie kolejny superkontynent
Ziemia za 250 milionów lat. Powstanie kolejny superkontynent
Czarne chmury nad Admirałem Kuzniecowem. Rosja wstrzymuje remont
Czarne chmury nad Admirałem Kuzniecowem. Rosja wstrzymuje remont
Polski astronauta trenuje w Kolonii. Na "antygrawitacyjnej" bieżni
Polski astronauta trenuje w Kolonii. Na "antygrawitacyjnej" bieżni
USA i Ukraina rozważają przełomową umowę. W tle obustronne korzyści
USA i Ukraina rozważają przełomową umowę. W tle obustronne korzyści
Pierwsze takie odpalenie w historii. Broń oparta na wnioskach z Ukrainy
Pierwsze takie odpalenie w historii. Broń oparta na wnioskach z Ukrainy
Polski astronauta wrócił na Ziemię. Jeden z eksperymentów nadal trwa
Polski astronauta wrócił na Ziemię. Jeden z eksperymentów nadal trwa
Ten kraj zamówił Patrioty. Za sprawą Ukrainy dostanie je później
Ten kraj zamówił Patrioty. Za sprawą Ukrainy dostanie je później
Sonda Parker Solar Probe odkrywa sekrety Słońca z bliskiej odległości
Sonda Parker Solar Probe odkrywa sekrety Słońca z bliskiej odległości