ควันหลงการแข่งขัน เจาะช่องโหว่ Pwn2Own 2010

[asylu3]

อ้างอิงจากที่ Staff ของเรา

Gen0TypE (3/25/10 7:17 am) -- แค่วันแรกของ Pwn2Own safari on iphone, safari on OSX, ie8 on Win7 ก็โดนเจาะได้ซะแล้ว (ตามลำดับ)[/b]

ได้ติดตามความเคลื่อนไหวของการแข่งขั้นหาช่องโหว่ของ Software ซึ่งรู้จักในชื่อ "Pwn2Own" ซึ่งจัดโดย TippingPoint

หลังจากที่มีผู้คนพบช่องโหว่ใน safari บน OSX ผมก็อยากรู้ว่าทาง Apple จะไวขนาดไหนในการตอบสนองช่องโหว่นี้
เลยลองทำการ update ดูพบว่าเป็นไปตามคาดว่า Apple ทำการ patch ช่องโหว่ของ Safari ในทันที ที่ทราบข่าวช่องโหว่ของตนเช่นกัน

ดังข้อมูลต่อไป (แต่ไม่รู้ว่าเป็นการ patch ช่องโหว่เดียวกันกับที่พบในงาน Pwn2Own หรือไม่ )

**Hidden Content: To see this hidden content your post count must be 1 or greater.**

งานนี้เป็นงานที่น่าสนใจมาก แต่ตอนนี้ยังหา official website ของโครงการไม่เจอ หากท่านใดสนใจก็ลองค้นข้อมูลจากเว็บเหล่านี้ดูไปก่อนนะครับ http://lmgtfy.com/?q=Pwn2Own

[asylu3]

ขอแก้ข่าวนิดนึงนะครับ
ดูท่าทาง update Safari ตัวนี้ออกมาตั้งแต่ 11 Mar 2010 แล้วก่อนจะมีงานแข่งซะอีกแสดงว่า
ไม่น่าจะมีการ patch ช่องโหว่นี้แน่นอน จบข่าว

[Gen0TypE]

ผมค่อนข้างมั่นใจว่าเป็นคนละช่องโหว่กัน เพราะ
- รายละเอียดช่องโหว่น่าจะยังไม่ถูกเปิดเผย น่าจะรู้แค่คนที่ hack ได้ กับทีมงานของ zdi
- ทีม security update ของ apple ค่อนข้างขึ้นชื่อเรื่องทำงานช้า
- ถึงทีม security จะรู้รายละเอียดช่องโหว่ทันที แต่ผมคิดว่าอย่างเร็วที่สุดน่าจะใช้เวลา 3 วัน(ในกรณีทีม sec ทำงานเร็วเหมือนเจ้าอื่น) ในการออก patch (ต้องมีขั้นตอน หลายอย่างเพื่อรับประกันว่า patch ที่ออกมา จะไม่ทำให้ osx เจ๊ง)

[pspn.n]

http://dvlabs.tippingpoint.com/blog/...5/pwn2own-2010
http://www.zerodayinitiative.com/
http://twitter.com/thezdi <- เกาะติดสถานะการณ์ได้ที่นีครับ