Google выплатит вознаграждение создателю недоделанного эксплоита для Chrome OS

Несмотря на то, что в рамках сореанования Pwnium никому из участников не удалось продемонстрировать взлом ChromeOS, компания Google решила выплатить поощрительный приз в размере 40 тысяч долларов создателю не доведённого до рабочего состояния эксплоита. Участник "Pinkie Pie" не успел подготовить к соревнованию полноценный эксплоит, но описал возможную цепочку проведения атаки, охватывающую две уязвимости: переполнение в процессе выполнение операций на стороне GPU (CVE-2013-0915) и выход за границы буфера в drm-драйвере i915 из состава ядра Linux (CVE-2013-0913). Кроме того, для потенциальной атаки была задействована ошибка в одном из файлов конфигурации.

В ChromeOS проблемы уже исправлены в обновлении 25.0.1364.173 от 15 марта. Патч для ошибки в ядре Linux был представлен 11 марта, но пока не включён в состав основного ядра. На соревновании Pinkie Pie продемонстрировал лишь эксплоит для одной уязвимости, описав вторую лишь в теории. Тем не менее, Google признала, что подобный поступок достоин награды, так как это позволило оперативно устранить уязвиомости. У Pinkie Pie была возможность придержать выявленные им уязвимости и к следующему соревнованию подготовить полноценный эксплоит, претендующий на премию в 150 тыс. долларов, но в этом случае уязвимости оставались бы не закрыты и могли быть найдены злоумышленниками.

Источник:
http://www.opennet.ru/opennews/art.shtml?num=36438

<= Назад
Комментарии
]]> ipv6 ready Kiev LUGLinux4MeНостальгияЛичный сайт skeletora ]]>