Googles Chrome-browser sliter etter første dag av konkurransen Pwn2Own. Svakhet i RSA SecurID Software Token Converter .
Første dag av konkurransen Pwn2Own er over
| Første dag av Pwn2Own-konkurransen ved sikkerhetskonfersen CanSecWest er over. I konkurransen skal deltagerne prøve å utvikle exploits for svakheter i web-browsere. I løpet av den første dagen klarte det Franske firmaet Vupen å utnytte en nyoppdaget sårbarhet i Chrome. De klarte også å unngå beskyttelsesmekanismer som DEP, ASLR og Chromes innebygde "sadbox". I tidligere års konkurranser har ingen tidligere klart å knekke sikkerheten i Chrome. I konkurransen ble også deltagerne bedt om å skrive exploits fra bunnen av for å utnytte eldre kjente svakheter. Vupen klarte i denne delen av konkurransen å skrive nye exploits for sårbarheter i både Firefox, Internet Explorer og Safari. Det tok fra 20 minutter til to timer å utvikle de nye exploitene. Google har også en egen konkurransen gående med pengepremier for exploits mot Chrome. I går måtte de betale ut $60.000 til en vinner som utnyttet en annen svakhet i Chrome. Begge svakhetene i Chrome er fortsatt upatchet. Disse konkurransene viser at dyktige utviklere forholdsvis lett kan finne og utnytte svakheter i de mest brukte browserne, motivert av relativt små pengepremier og berømmelse. |
||||
| Referanser | ||||
|---|---|---|---|---|
| http://arstechnica.com/business/news/2012/03/google-chromes-winning-streak-fades-at-annual-hacking-contest.ars https://pwnium.appspot.com/ |
RSA SecurID Software Token Converter Unspecified Buffer Overflow Vulnerability
| Det har blitt oppdaget en svakhet i RSA SecurID Software Token Converter som potensielt sett kan utnyttes til å få kjørt vilkårlig kode på et sårbart system. Oppdatering til versjon 2.6.1 anbefales. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Update to version 2.6.1. | ||||
| Referanser | ||||
| http://www.secunia.com/advisories/48297 http://archives.neohapsis.com/archives/bugtraq/2012-03/0017.html |
||||