Podobnie jak w ubiegłych latach, podczas konferencji Black Hat w Las Vegas rozdane zostały nagrody Pwnie, którymi wyróżniani są odkrywcy luk w zabezpieczeniach w różnych kategoriach. Nagroda w kategorii najlepszego błędu po stronie serwera w tym roku trafiła do Medera Kydyralieva za wykrycie luki we frameworku Struts2. Używając żądania HTTP z pięcioma specjalnymi parametrami, udało mu się wykonać na serwerze dowolny kod Javy.
Najlepszą lukę po stronie klienta wykrył Sami Koivu: za pomocą własnego
exploita podważył model bezpieczeństwa Javy i w ten sposób wykonał kod na prawach zalogowanego użytkownika. Zdaniem jury najbardziej innowacyjną
pracą badawczą (PDF) była "Flash Pointer Inference and JIT Spraying" Dionysusa Blazakisa.
Niewiele chluby firmie Absolute Software przyniosło wyróżnienie najbardziej lamerskiej reakcji producenta (Lamest Vendor Response): na informację o
luce w zabezpieczeniach programu LANRev firma odpowiedziała następująco: "Czy teoretycznie możliwe jest wykorzystanie tej luki? Oczywiście, ale na razie żaden z naszych klientów nie zgłosił takiego problemu. Gdy tylko klienci wyrażą swoje wątpliwości, dostarczymy im odpowiedni patch".
Microsoft został wyróżniony w kategorii Most Epic FAIL. Błąd w filtrze XSS (Cross-Site Scripting) Internet Explorera 8 pozwala dokładnie na to, czemu filtr miał zapobiegać: atakom typu Cross-Site Scripting na stronach, które tak właściwie były całkiem bezpieczne.
wydanie internetowe
www.heise-online.pl
Czytaj dalej
