Объявлены номинанты The Pwnie Awards — ежегодной церемонии отмечающей
достижения и промахи в области IT-безопасности.
Лучший баг на стороне сервера
Windows IGMP kernel vulnerability
уязвимость
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0069
и очень надежный эксплойт
http://www.immunitysec.com/downloads/KernelPool.odp
Переполнение стэка в NetWare kernel DCERPC
http://recon.cx/2008/a/nicolas_pouvesle/netware.pdf
Выполнение команд в ClamAV
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4560
Ошибка в SQL Server 2005
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4560
Лучший баг на стороне клиента
Многочисленные уязвимости в обработке URL
http://secunia.com/advisories/26086
Slirpie
http://www.toorcon.org/2007/event.php?id=23
Уязвимость в Safari, позволяющая автоматически загружать файлы
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2540
Уязвимость в Adobe Flash
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0071
Уязвимость в QuickTime
http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=quicktime
Получение контроля над большим числом компьютеров
Уязвимость IGMP в ядре Windows
http://www.iss.net/threats/282.html
Огромное число уязвимостей в WordPress
http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=wordpress
Слабый генератор случайных чисел в Debian
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0166
XSS в сети провайдеров Earthlink, Comcast и Verizon
http://blog.wired.com/27bstroke6/2008/04/isps-error-page.html
SQL инъекция в более чем 500.000 сайтов
http://blogs.iis.net/bills/archive/2008/04/25/sql-injection-attacks-on-iis-web-servers.aspx
Самое инновационное исследование
Выход за пределы виртуальной машины в ActionScript
http://documents.iss.net/whitepapers/IBM_X-Force_WP_final.pdf
Получение контроля на компьютере с многоядерным процессором
http://www.shadowflux.com/Splitting%20Gemini.pdf
Атака на криптографические ключи при помощи "холодной перезагрузки" (Cold
Boot Attack)
http://www.xakep.ru/post/42561/default.asp
Атака на протектор виртуализации
http://www.openrce.org/blog/view/1110/
Обход защиты кучи (heap) в Windows 2003
http://www.insomniasec.com/publications/Heaps_About_Heaps.rar
Самый неудовлетворительный ответ вендора
Программа сертификации "Hacker Safe" от McAfee
Более 60 сайтов, включая сайт самой McAfee, сертифицированные как "Hacker Safe",
были подвержены XSS атаке.
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=205900444
Линус Торвальдс и его политика безопасности
http://www.xakep.ru/post/44524/default.asp
Долгий ответ Wonderware на информацию об уязвимости в своих продуктах
http://www.coresecurity.com/index.php5?module=ContentMod&action=item&id=2187
NXP (ранее известный как Philips Semiconductors)
http://www.xakep.ru/post/44540/default.asp
Самый переоцененный баг
Отравление DNS кэша
http://www.xakep.ru/post/44375/default.asp
CSRF атака на домашние маршрутизаторы
http://www.gnucitizen.org/blog/bt-home-flub-pwnin-the-bt-home-hub/
Удаленное выполнение кода в Adobe Flash Player
http://www.securityfocus.com/bid/29386/discuss
Самый грандиозный провал
Тодд Дэвес, глава Lifelock за публикацию его SSN в интернете
Глава фирмы по предотвращению мошенничеств Lifelock Тодд Дэвис опубликовал свой
номер социального страхования, демонстрируя уверенность в защите, предлагаемой
его компанией, после чего кто-то быстро украл 500 долларов используя эти данные.
http://youtube.com/watch?v=Zuom4j3-dGY
Debian на протяжении двух лет поставлял OpenSSL библиотеку со слабой
криптографией
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0166
Microsoft инвестировал 100 миллионов долларов в улучшение безопасности в
Windows Vista получив в итоге недовольных пользователей из-за раздражающего UAC.
Также были объявлены номинанты на лучшую песню и за персональные достижения.
Полный список:
