Mac is the first to fall in Pwn2Own hack contest

[Thuglife]

http://www.channelregister.co.uk/2008/03/28/mac_hack/

CanSecWest A brand-new MacBook Air running a fully patched version of Leopard was the first to fall in a contest that pitted the security of machines running OS X, Vista and Linux. The exploit took less than two minutes to pull off.

Charlie Miller, who was the first security researcher to remotely exploit the iPhone, felled the Mac by tapping a security bug in Safari. The exploit involved getting an end user to click on a link, which opened up a port that he was then able to telnet into. Once connected, he was able to remotely run code of his choosing. The feat won him a $10,000 prize paid by Tipping Point, whose Zero Day Initiative pays bounties to researchers for responsibly disclosing vulnerabilities.

The hack came during the Pwn2Own contest, which is being held at the CanSecWest conference in Vancouver. The competition took place in a conference room overlooking the city's Burrard Inlet, a harbor where pontoon planes took off and disappeared into black rain clouds shrouding nearby Grouse Mountain. A small round of applause broke out immediately after contest officials confirmed Miller's exploit was legit.

At time of writing, the Windows and Linux machines were still standing.

Under contest rules, Miller was forbidden from providing specifics of his hack. He said he chose Apple over the other machines because "I thought of the three it was the easiest". He said he didn't test the exploit on any other platform. As a Mac user, he added, he felt an incentive to exploit the system because he believes it will help make the platform stronger. Miller, who works for Independent Security Evaluators, received help from co-workers Jake Honoroff and Mark Daniel.

Miller's win came on day two of the contest, which gradually eases the rules for what constitutes a qualifying exploit. Not a single attendee entered the contest on day one, when all vulnerabilities had to reside in the machine's operating system, drivers or network stack. Winners were eligible for a $20,000 prize.

On day two, the attack surface was expanded to include browsers, mail applications and other common applications, and the bounty was reduced to $10,000. Contestants on day three will be allowed to attack still more applications, such as Skype, QuickTime and browser plugins for a $5,000 prize.

The Safari exploit came a day after Secunia warned of two critical vulnerabilities in the Apple browser.

As we've said in the past, one benefit of the Pwn2Own contest is its ability to eliminate economic variables from the argument over whether a given platform is vulnerable to attack. Given the proper incentive, it's safe to say that any is ripe for the picking.

[macgiorgosgr]

Πάρτε κυρίες μου καλά αντιβάιρουουουουους! Πάρτε κυρίες μου καλά φάιργουοοοοοολ! Πάρτε, κυρίες μου σουίτες διαδικτυακής ασφάλειας!

[EvilHawk]

Ευτυχώς τέτοια ώρα δουλεύει ο Wantilles, θα περάσω από εδώ αργότερα που θα έχει σχολάσει

[Flareman]

Ευτυχώς τέτοια ώρα δουλεύει ο Wantilles, θα περάσω από εδώ αργότερα που θα έχει σχολάσει

Καλό!

Τώρα μετράμε ώρες που θα χρειαστεί η Apple για να βγάλει το σχετικό security update... στο Redmond ακόμα τρίβουν

[Thuglife]

Καλό!

Τώρα μετράμε ώρες που θα χρειαστεί η Apple για να βγάλει το σχετικό security update... στο Redmond ακόμα τρίβουν

Βασικά σε λίγο πάμε για εβδομάδα, http://secunia.com/advisories/29483/

Solution:
Do not browse untrusted web sites.

Το άλλο για το Redmond δεν το κατάλαβα, windows χρησιμοποιείς?

[Wolverine]

Πάρτε κυρίες μου καλά αντιβάιρουουουουους! Πάρτε κυρίες μου καλά φάιργουοοοοοολ! Πάρτε, κυρίες μου σουίτες διαδικτυακής ασφάλειας!

Βρε δίκιο έχεις αλλά ένα firewall στο router μας καλό είναι να υπάρχει ότι λειτουργικό και να έχουμε, δεν κοστίζει πλέον και τίποτα.

[RyDeR]

Βρε δίκιο έχεις αλλά ένα firewall στο router μας καλό είναι να υπάρχει ότι λειτουργικό και να έχουμε, δεν κοστίζει πλέον και τίποτα.

Αυτο ειναι σιγουρο, αλλα οταν ενα OS χαρακτηριζεται σαν ασφαλες τι σημαινει;

[sdikr]

Καλό!

Τώρα μετράμε ώρες που θα χρειαστεί η Apple για να βγάλει το σχετικό security update... στο Redmond ακόμα τρίβουν

Απο αλλου το περιμένατε απο αλλού έρχεται,

Δηλάδη παίζει ρόλο το πόσο γρήγορα θα κλείσει μια τρύπα; μην ξεχνάμε οτι στην μια περίπτωση έχουμε ας πούμε 95 να ψάχνουν πρόβληματα, στην άλλη 3

Υπάρχει πρόβλημα, αυτο φτάνει

Βρε δίκιο έχεις αλλά ένα firewall στο router μας καλό είναι να υπάρχει ότι λειτουργικό και να έχουμε, δεν κοστίζει πλέον και τίποτα.

Δεν είναι ακριβώς έτσι, απο την στιγμή που η κίνηση ξεκινά απο μέσα όλα τα spi firewall την επιτρέπουν, δυστυχώς



Και συνεχίζουμε....

[waste]

ακριβως το firewall δεν ειναι πανακεια , ειδικά για τη βλακία του χρήστη...
ειδικά εάν το firewall εχει ενεργοποιημενα και τιποτα upnp για ακομα μεγαλυτερη απολαυση..
λολ

ΥΓ παντως για να είμαστε ειλικρινείς όλες οι πλατφορμες θα μπορουσαν να την εχουν πατησει

[haHa]

Αναρωτιεμαι αν αυτη η ασφαλεια που ευαγγελιζονται ολα τα λειτουργικα, αφορα πραγματι τους οικιακους χρηστες??


Γιατι τι σε windows (που θεωρειται οτι εχει τις πιο πολες τρυπες), τι σε mac os x , τι σε linux , εχει αντιμετωπισει κανενας προβλημα?

Εγω ποτε! (α,οχι θυμηθηκα τον blaster)

[waste]

μπράβο θυμηθηκες τον blaster που ήταν ένα εντυπωσιακό παράδειγμα μαζικού χτυπήματος.. κι εγω έχω δεκάδες παραδείγματα όπου μια ελάχιστη απροσεξία του χρήστη (δεν μιλάμε για ακραία πράγματα, αλλά πραγματικά ελάχιστη απροσεξία) ανοιγε τρύπες στον υπολογιστή.... Μεγάλο μέρος αυτης της ανασφάλιας ήταν ο IE. ουτε καν θελω να θυμαμαι τα exploits που εβρισκα καθε φορα.

Προσωπικά μόλις τους γύρισα όλους σε firefox ενα πολύ μεγάλο μέρος των προβλημάτων εξαφανίστηκε. Ηταν σαφέστατα πιο σωτήριο από το firewall απλά το δεύτερο μου έδινε την δυνατότητα να έχω πολύ μεγαλύτερο ενεργητικό έλεγχο.

[Πύρρος]

[fanboy] Πάλι πρώτη η Apple! [/fanboy]

[ikaros]

FreeBSD σου λέει ο άλλος...

[Flareman]

@sdikr: Κάτσε ρε αδερφέ, δεν παίζει ρόλο; Δε δείχνει την ευσυνειδησία της εταιρείας απέναντι σε θέματα ασφαλείας; Δεν παίζει ρόλο μόνο το ότι ο Χ έχει 5 τρύπες και ο Ψ 95, παίζει ρόλο και το ότι ο Χ τις κλείνει σε ώρες, ο Ψ σε βδομάδες.

@Thuglife: Εγώ Windows; Φτου κακά και μακριά από μένα...

Update: το μπαλώσανε, ήδη από χθες. Ευ γε!:cal:

[kadronarxis]

Κάποιος πρέπει να τα μαζέψει πάλι:

http://macdailynews.com/index.php/we...omments/16825/
http://dvlabs.tippingpoint.com/blog/...ay-and-wrap-up

Vista Ultimate με SP1 is going dowwwwwn.....

Mac ρε.... μια ζωή mac.