Объявлены номинанты The Pwnie Awards

Рекомендуем почитать:

Xakep #304. IP-камеры на пентестах

• Содержание выпуска
• Подписка на «Хакер»-60%

Объявлены номинанты The Pwnie Awards — ежегодной церемонии отмечающей
достижения и промахи в области IT-безопасности.

Лучший баг на стороне сервера

Windows IGMP kernel vulnerability
уязвимость
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0069
и очень надежный эксплойт

http://www.immunitysec.com/downloads/KernelPool.odp

Переполнение стэка в NetWare kernel DCERPC

http://recon.cx/2008/a/nicolas_pouvesle/netware.pdf

Выполнение команд в ClamAV

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4560

Ошибка в SQL Server 2005

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4560

Лучший баг на стороне клиента

Многочисленные уязвимости в обработке URL

http://secunia.com/advisories/26086

Slirpie

http://www.toorcon.org/2007/event.php?id=23

Уязвимость в Safari, позволяющая автоматически загружать файлы

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2540

Уязвимость в Adobe Flash

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0071

Уязвимость в QuickTime

http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=quicktime

Получение контроля над большим числом компьютеров

Уязвимость IGMP в ядре Windows

http://www.iss.net/threats/282.html

Огромное число уязвимостей в WordPress

http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=wordpress

Слабый генератор случайных чисел в Debian

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0166

XSS в сети провайдеров Earthlink, Comcast и Verizon

http://blog.wired.com/27bstroke6/2008/04/isps-error-page.html

SQL инъекция в более чем 500.000 сайтов

http://blogs.iis.net/bills/archive/2008/04/25/sql-injection-attacks-on-iis-web-servers.aspx

Самое инновационное исследование

Выход за пределы виртуальной машины в ActionScript

http://documents.iss.net/whitepapers/IBM_X-Force_WP_final.pdf

Получение контроля на компьютере с многоядерным процессором

http://www.shadowflux.com/Splitting%20Gemini.pdf

Атака на криптографические ключи при помощи "холодной перезагрузки" (Cold
Boot Attack)

http://www.xakep.ru/post/42561/default.asp

Атака на протектор виртуализации

http://www.openrce.org/blog/view/1110/

Обход защиты кучи (heap) в Windows 2003

http://www.insomniasec.com/publications/Heaps_About_Heaps.rar

Самый неудовлетворительный ответ вендора

Программа сертификации "Hacker Safe" от McAfee
Более 60 сайтов, включая сайт самой McAfee, сертифицированные как "Hacker Safe",
были подвержены XSS атаке.

http://www.informationweek.com/shared/printableArticle.jhtml?articleID=205900444

Линус Торвальдс и его политика безопасности

http://www.xakep.ru/post/44524/default.asp

Долгий ответ Wonderware на информацию об уязвимости в своих продуктах

http://www.coresecurity.com/index.php5?module=ContentMod&action=item&id=2187

NXP (ранее известный как Philips Semiconductors)

http://www.xakep.ru/post/44540/default.asp

Самый переоцененный баг

Отравление DNS кэша

http://www.xakep.ru/post/44375/default.asp

CSRF атака на домашние маршрутизаторы

http://www.gnucitizen.org/blog/bt-home-flub-pwnin-the-bt-home-hub/

Удаленное выполнение кода в Adobe Flash Player

http://www.securityfocus.com/bid/29386/discuss

Самый грандиозный провал

Тодд Дэвес, глава Lifelock за публикацию его SSN в интернете
Глава фирмы по предотвращению мошенничеств Lifelock Тодд Дэвис опубликовал свой
номер социального страхования, демонстрируя уверенность в защите, предлагаемой
его компанией, после чего кто-то быстро украл 500 долларов используя эти данные.

http://youtube.com/watch?v=Zuom4j3-dGY

Debian на протяжении двух лет поставлял OpenSSL библиотеку со слабой
криптографией

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0166

Microsoft инвестировал 100 миллионов долларов в улучшение безопасности в
Windows Vista получив в итоге недовольных пользователей из-за раздражающего UAC.

Также были объявлены номинанты на лучшую песню и за персональные достижения.

Полный список:

http://pwnie-awards.org/2008/index.html