Teknoloji

Chrome OS Pwnium 3’te sağlamlığını kanıtladı, tarayıcılar Pwn2Own’da başarısız çıktı

Google’ın Pwnium mücadelesi ilk iki yılında benzer tabiat göstermişti, beyaz şapkalı korsanlar Chrome’da bir açık bulamamış, onların ilham verdiği birkaç yama sayesinde yazılım daha da güçlü hâle getirilmişti. Chrome OS’e odaklanan Pwnium 3’te ise durum çok daha öteye taşındı.

chrome-os-logo

Google’ın 3.14159 milyon gibi pi sayısını çağrıştıran ödülüne rağmen katılımcılar Chrome OS ile çalışan Series 5 550 hedef makinede bir açık bulup ona sızmayı başaramadılar. Bu yarışma Google’ın güvenlik alanında yaptığı iyileştirmelerin ne kadar yerinde olduğunu gösteriyor, ancak geride hangi açıkların kaldığını görme konusunda hevesli olan Google bunu gerçekleştiremedi gibi görünüyor. Yani ortada karışık bir durum var.

Söz konusu etkinlikle aynı anda düzenlenen Pwn2Own etkinliğindeyse Chrome, kuzeni Chrome OS ile aynı başarıyı gösteremedi. Nils olarak bilinen ve MWR Labs olarak adlandırılan bir grupla birlikte çalışan korsan Chrome’da bir açık buldu ve karşılığında 100 bin dolarlık ödülünü aldı. Korsan bir dizi bellek koruma mekanizmasının etrafından dolaşarak saldırısını gerçekleştirmeyi başardı.

Microsoft’un Internet Explorer’ı ve Mozilla’nın Firefox’u da hack’lendi. Bir güvenlik şirketi olan VUPEN bellek bağlantılı açığı kullandı ve Firefox’a sızarak 60 bin dolar ödeüle hak kazandı. Ayrıca grup daha sonra Internet Explorer’ı da kırmayı başararak 100 bin dolar ödülün de sahibi oldu. Ayrıca VUPEN Java aşırı akış açığından yararlanan bir saldırıyı göstererek 20 bin dolarlık ek ödüle de kondu.

Şirketler bu etkinliklerde büyük ödül vaatlerinde bulunuyor, ancak karşılığında önemli bilgilere de sahip olma fırsatı elde ediliyor. Örneğin HP ve Google gibi şirketler bulunan açıkların haklarını satın alarak bunlara göre yamalar oluşturuyor, ürünlerini iyileştiriyor. Apple’ın Safari internet tarayıcısı da meydan okuyan ürünler arasındaydı, benzer şekilde HP’nin de 75 bin dolarlık ödülü beklemedeydi. Ancak hiçbir katılımcı bu ürün ve ödüllere ilgi göstermedi.

İlgili >> Engadget, eSecurity Planet