URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 40959
[ Назад ]

Исходное сообщение
"OpenNews: На турнире хакеров Mac OS X взломали меньше чем за минуту"

Отправлено opennews , 28-Мрт-08 11:46 
Компания Tipping Point объявила (http://dvlabs.tippingpoint.com/blog/2008/03/19/cansecwest-pw...) о том, что заплатит до 20 тысяч долларов и подарит ноутбук тому, кто сможет скомпрометировать сразу 3 компьютера с операционными системами Microsoft Windows Vista, Apple Mac OS X и Ubuntu Linux в рамках соревнования PWN2OWN (http://cansecwest.com/post/2008-03-20.21:33:00.CanSecWest_PW...), проводимого на конференции CanSecWest 2008 (http://cansecwest.com/).

Как и в прошлом году, первой и единственной жертвой стала операционная система Mac OS X. В этом году, Чарли Миллер, главный аналитик Independent Security Evaluators, скомпрометировал Apple MacBook с Mac OS X 10.5.2 "Leopard" меньше чем за минуту. Найденная уязвимость, по мнению специалистов, очень серьезная. Она позволяет злоумышленнику удаленно и без каких-либо дополнительных действий со стороны пользователя системы выполнить произвольный код, что и было продемонстрировано на соревновании.


Как итог, Чарли Миллер ...

URL: http://www.securityfocus.com/brief/711?ref=rss
Новость: http://www.opennet.me/opennews/art.shtml?num=15007


Содержание

Сообщения в этом обсуждении
"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено april , 28-Мрт-08 11:46 
а машину с Windows Vista никто не ломал ибо никому ноут со свистой был не нужен???

"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено vortex , 28-Мрт-08 12:04 
ну виста не нужна, но железо то от этого не дешевле ;)

"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено Аноним , 31-Мрт-08 05:13 
>ну виста не нужна, но железо то от этого не дешевле ;)

И ее сломали.Не сломали только скромную африканку убунту на япошке Сони :)



"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено послушайте , 28-Мрт-08 11:54 
так не честно.
парень пришел уже подготовленный, он точно знал уже чем подвержена эта версия системы.

"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено Andrew Kolchoogin , 28-Мрт-08 11:57 
Оборотная сторона операционных систем с открытым исходным кодом. Необходим _живой_ Security Officer, который будет мгновенно реагировать на zero-day-exploit'ы. Вон, во FreeBSD их уже двое... Персиваль, видимо, один не успевает всё разгребать.

"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено Анонима , 28-Мрт-08 22:02 
а когда второго назначили? я что-то пропустил.

"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено Аноним , 31-Мрт-08 05:22 
>Оборотная сторона операционных систем с открытым исходным кодом. Необходим _живой_ Security Officer,
>который будет мгновенно реагировать на zero-day-exploit'ы.  

Да?Вон африканку Убунту сломать так и не смогли.А висту-drmисту и макось сломали.Что ж такое то?Ах, кажется понимаю - обе системы в общем то проприетарные и к открытости мало какое отношение имеют, так что получается что живые секурити-офицеры нужны скорее проприетарным системам:).И кстати на вмсплайсы в убунте апдейт сам приехал и быстро.Кстати редкий для линукса случай - после инсталла система попросила ребутнуться.Обычно нафиг не надо ничего ребутать :).Это вам не майкрософт который апдейты раз в месяц выдает, когда непротрояненых машин уже почти не осталось и ребут неизбежен потому как длл файлы иначе залочены и бех этого просто не заменяются нифига и апдейт не применен фактически :)

>Вон, во FreeBSD их уже
>двое... Персиваль, видимо, один не успевает всё разгребать.

А можно мне для линуха 0-day который позволит ремотно поиметь машину?Или хоть напомните, когда там был 0-day позволяющий чего-то ремотно получить без каких-то действий локального юзера уже имеющего аккаунт или того веселее физический доступ, а?


"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено 0day , 22-Апр-08 02:31 
>[оверквотинг удален]
>файлы иначе залочены и бех этого просто не заменяются нифига и
>апдейт не применен фактически :)
>
>>Вон, во FreeBSD их уже
>>двое... Персиваль, видимо, один не успевает всё разгребать.
>
>А можно мне для линуха 0-day который позволит ремотно поиметь машину?Или хоть
>напомните, когда там был 0-day позволяющий чего-то ремотно получить без каких-то
>действий локального юзера уже имеющего аккаунт или того веселее физический доступ,
>а?

та поиметь бы хотя бы для IE'шки 0day... никто не занимается часом ? :)



"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено vle , 28-Мрт-08 17:01 
Мда, желающих читать код Darwin не так уж и много. Особенно
после смерти OpenDarwin.

"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено Helg , 28-Мрт-08 23:51 
>Мда, желающих читать код Darwin не так уж и много. Особенно
>после смерти OpenDarwin.

Уязвимость скорее относится к WebKit/KHTML, и штудируют их код регулярно


"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено Аноним , 28-Мрт-08 18:40 
>> так не честно. парень пришел уже подготовленный, он точно знал уже чем подвержена эта версия системы.

Всё честно - производители как-никак тоже пришли подготовленными - все известные последние дырки были залатаны ведь :)


"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено vortex , 28-Мрт-08 12:03 
не верю, что висту не сломали! неужели она действительно "безопасная"?!

"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено Аноним , 28-Мрт-08 12:09 
висту не взломали - она просто не запустилась

"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено Sarmat , 28-Мрт-08 12:26 
>висту не взломали - она просто не запустилась

висту так быстро не взломать, она же система не быстрая значит и ломаеться не быстро


"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено morpheus , 28-Мрт-08 14:03 
+1000

"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено vortex , 28-Мрт-08 19:27 
>>висту не взломали - она просто не запустилась
>
>висту так быстро не взломать, она же система не быстрая значит и
>ломаеться не быстро

жаль. я б позлорадствовал не меньше чем на маками...


"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено Аноним , 31-Мрт-08 05:23 
>висту не взломали - она просто не запустилась

Сломали... :P.Уцелел в итоге только ноут от соньки с убунтой :)


"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено grayich , 28-Мрт-08 12:47 
сломать висту, было равнозначно тому, чтобы подарить уязвимость m$ и прочим. думается за нормальную уязвимость можно получить поболее $20k с буком

"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено stellgenossen.ru , 28-Мрт-08 12:12 
Это не совсем верно: "Она позволяет злоумышленнику удаленно и без каких-либо дополнительных действий со стороны пользователя". Действия со стороны пользователя потребовались:
http://www.channelregister.co.uk/2008/03/28/mac_hack/
"The exploit involved getting an end user to click on a link, which opened up a port that he was then able to telnet into."

Именно поэтому он получил приз 10000$, а не 20000$.


"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено specialm , 28-Мрт-08 12:39 
Действительно, не заметил "The vulnerability exploited by Miller required some user interaction". Спасибо, поправил.

"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено Konstantin , 28-Мрт-08 12:17 
Внимательно перечитал блог и понял что единтсвенное о чем они смогли написать это бага в сафари поставляемого для венды через айтюнс апдейт. смешно до слез. Сломали сафари на венде и теперь говорят что бага в леопарде. +1024

"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено sun , 28-Мрт-08 15:09 
>Внимательно перечитал блог и понял что ... это бага в сафари поставляемого для венды через айтюнс апдейт. смешно до слез. +1024

:) Почитай еще +1024 раз - может, еще чего поймешь ;)


"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено Flyheart , 28-Мрт-08 12:55 
Может имеет смысл сменить название новости, а то желтизной попахивает. Сломали то сафарь под вынь, а не МакОС.

"Сломали Safari под MacOS X"
Отправлено Fr. Br. George , 28-Мрт-08 13:51 
Сломали Safari под MacOS X, что ещё могло быть запущено на MacBook Air? А упоминание про Windows -- это пугалка такая: "поставите Safari нв свою винду -- и вас сломают".

"Сломали Safari под MacOS X"
Отправлено Кирилл , 31-Мрт-08 14:13 
>Сломали Safari под MacOS X, что ещё могло быть запущено на MacBook
>Air? А упоминание про Windows -- это пугалка такая: "поставите Safari
>нв свою винду -- и вас сломают".

На эире могло быть что угодно, в том числе и виста.


"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено Аноним , 28-Мрт-08 13:34 
Мда, даже windows уже безопаснее, чем macosx. Кто-то еще настолько глуп, чтобы считать закрытые системы безопасными?

"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено Lin , 28-Мрт-08 14:38 
Прикольно, чел сломал MacOS, за это ему дали MacBook с той же MacOS
Типа получи, фашист, гранату!
((:

"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено ЮзверЪ , 28-Мрт-08 15:03 
> Прикольно, чел сломал MacOS, за это ему дали MacBook с той же MacOS
> Типа получи, фашист, гранату! ((:

Поломал - пусть теперь сам чинит... (-;


"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено Аноним , 28-Мрт-08 15:06 
на нем замечательно работает Убунта

"OpenNews: На турнире хакеров Mac OS X взломали меньше чем за..."
Отправлено Кирилл , 28-Мрт-08 15:26 
20 килобаксов за опубликование уязвимости висты это смешно, как, собственно, и линукса тоже.

"OpenNews: На турнире хакеров Mac OS X взломали меньше чем за..."
Отправлено Аноним , 28-Мрт-08 17:12 
Справедливость восторжествовала =). А то у "фанатегов" Эпл (и многих других)сложилось мнение, будто mac os x самая лучшая, самая безопасная ос...  Бред...

"OpenNews: На турнире хакеров Mac OS X взломали меньше чем за..."
Отправлено Кирилл , 31-Мрт-08 10:41 
>Справедливость восторжествовала =). А то у "фанатегов" Эпл (и многих других)сложилось мнение,
>будто mac os x самая лучшая, самая безопасная ос...  Бред...
>

Ну МакОСь не самая безопасная, это давно известно. Но самая лучшая это да ;) Очень удобная среда.


"OpenNews: На турнире хакеров Mac OS X взломали меньше чем за..."
Отправлено angra , 31-Мрт-08 10:58 
А можете посоветовать для этой удобной среды хорошую читалку книг? Пока терзания гугля привели к нескольким заброшенным проектам с дохлыми линками, tofu(не умеет русский) и coolreader(не умеет ничего кроме fb2). В результате приходится читать через safari, который к тому же часто зависает на смене кодировки или размера шрифта.

"OpenNews: На турнире хакеров Mac OS X взломали меньше чем за..."
Отправлено Кирилл , 31-Мрт-08 11:37 
>А можете посоветовать для этой удобной среды хорошую читалку книг? Пока терзания
>гугля привели к нескольким заброшенным проектам с дохлыми линками, tofu(не умеет
>русский) и coolreader(не умеет ничего кроме fb2). В результате приходится читать
>через safari, который к тому же часто зависает на смене кодировки
>или размера шрифта.

Какие вы книги читать хотите? Для меня книга это или из бумаги :) или пэдээф, или дежавю. А вы какие хотите?


"OpenNews: На турнире хакеров Mac OS X взломали меньше чем за..."
Отправлено angra , 31-Мрт-08 16:37 
Хотя бы в наиболее распространенном формате - plain text. А вообще желательно умение читать и другие форматы. Можете порекомендовать утилиты для удобного просмотра pdf и djvu, а также для конвертации в них из других форматов. Ну и конечно хотелось бы бесплатные версии :)

"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено Аноним , 28-Мрт-08 20:06 
Странно, я что-то непонял, это експлоит для сафари под виндой, где всетаки внятно написано под какой осью он взломал макбук аир?

"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено Аноним , 28-Мрт-08 20:11 
The exploit involved getting an end user to click on a link, which opened up a port that he was then able to telnet into
В не проще сразу через аську попросить юзера запустить вот эту чудо программу?

"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено Кирилл , 31-Мрт-08 10:46 
>The exploit involved getting an end user to click on a link,
>which opened up a port that he was then able to
>telnet into
>В не проще сразу через аську попросить юзера запустить вот эту чудо
>программу?

А дальше чего? чтоб по телнету подцепиться к МакОСи нужен пароль супера.


"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено Аноним , 28-Мрт-08 20:13 
вдогонку... мне казалось что для таких вещей МакОсь запрашивает пароль супервизора, кто-то вкурсе он что именно скрыто это делал?

"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено Vlad Berezhnyak , 28-Мрт-08 23:56 
>вдогонку... мне казалось что для таких вещей МакОсь запрашивает пароль супервизора, кто-то
>вкурсе он что именно скрыто это делал?

Может договорились, а деньги пополам?


"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено AmdY , 29-Мрт-08 00:07 
:) недавно читал хабру, там в очередной раз пиарилась макось, даж обидно как-то.
в очередной раз убеждаюсь, что при выборе системы дыравостью нужно руководствоваться во вторую очередь, главное - удобство и функциональность.

"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено Ононимус , 29-Мрт-08 00:27 
>:) недавно читал хабру, там в очередной раз пиарилась макось, даж обидно
>как-то.
>в очередной раз убеждаюсь, что при выборе системы дыравостью нужно руководствоваться во
>вторую очередь, главное - удобство и функциональность.

кому как, правда? некоторым важнее целостность и неприкосновенность (о, как замутил =)) данных чем удобство, юзеру (пользователю) и т.д наоборот...


"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено Аноним , 29-Мрт-08 02:30 
На хабре тот еще контингент...

> дыравостью нужно руководствоваться во вторую очередь, главное - удобство и функциональность.

В макоси из этого есть только первое.


"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено Аноним , 29-Мрт-08 11:04 
>На хабре тот еще контингент...
>
>> дыравостью нужно руководствоваться во вторую очередь, главное - удобство и функциональность.
>
>В макоси из этого есть только первое.

Смотря что каждый понимает под словом удобство...



"На турнире хакеров Mac OS X взломали меньше чем за минуту"
Отправлено Аноним , 30-Мрт-08 08:46 
Только ноутбук Sony VAIO c Ubuntu Linux оказался неприступным перед атаками хакеров на конкурсе PWN2OWN, проводимом на конференции CanSecWest 2008 (Ванкувер). А последний день соревнований выявил еще одного победителя: Shane Macaulay. Он выиграл Fujitsu U810 с Windows Vista Ultimate SP1 скомпрометировав целевую систему используя 0day уязвимость в Adobe Flash.