На хакерской конференции Black Hat состоялась церемония присуждения наград
The Pwnie Awards, призы в которой были распределены по семи категориям и
достались компаниям, создавшим самые глючные и уязвимые приложения, а также
экспертам, их обнаружившим. В номинации “Самый громкий провал” победу одержал
браузер Internet Explorer 8, в системе защиты которого от межсайтового
скриптинга нашли баг, позволяющий этот межсайтовый скриптинг осуществлять.

Церемония The Pwnie Awards
проводится с 2007 года, когда идею вручения таких наград предложили
исследователи Дино Даи Зови и Александр Сотиров. Два этих эксперта до сих пор
входят в состав судейского комитета, в котором заседают также HD Moore, Марк
Дауд, Халвар Флэйк, Дейв Голдсмит и Дейв Эйтель.

В номинации “Лучший баг на стороне сервера” победил Медер Кадыралиев,
обнаруживший критическую уязвимость в инфраструктуре Apache Struts2. Награду за
лучший баг на стороне клиента забрал Сами Койву, создавший эксплоит, подрывающий
основы модели безопасности Java.

Небезызвестный Тэвис Орманди из Google получил приз в категории “Лучший баг с
повышением уровня привилегий”, доставшийся ему за обнаружение бреши в
обработчике прерываний Windows NT #GP. Награду за самый инновационный подход к
исследованию получил Дионисий Блазакис, разработавший технологию обхода ASLR за
счет уменьшения вариантов рандомизации с помощью размещения в памяти указателей
на объекты Flash и использования метода JIT-spray.

Приз за лучшую рэп-композицию, написанную хакером, ушел к исполнителям Dr.
Raid и Heavy Pennies, написавшим песню “Pwned - 1337 edition”.

Награду за самую нелепую реакцию на обнаружение бреши получила фирма Absolute
Software, вице-президент которой Тим Паркер так ответил на вопрос о критическом
баге в программе удаленного администрирования LANRev:

“Есть ли теоретическая возможность эксплуатации этого? Конечно, есть. Однако
нам не известно ни об одном клиенте, у которого были бы такие проблемы. Если бы
хоть кто-то из них выразил озабоченность, мы бы немедленно выслали ему патч”.
Добавим лишь, что указанный баг позволял полностью скомпрометировать компьютер.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии