ôm 19/3, một chuyên gia nghiên cứu bảo mật người Đức đã giành được giải thưởng 5.000 USD từ cuộc thi PWN2OWN sau khi đột nhập thành công chiếc máy tính xách tay Sony Vaio thông qua một lỗ hổng bảo mật trong trình duyệt Internet Explorer 8 vừa ra mắt.
Vừa ra mắt, IE8 đã bị khai thác lỗ hổng bảo mật để tấn công Windows. Nguồn: CNET
Terri Forslof – Giám đốc phụ trách bộ phận phản ứng với các tình huống bảo mật của nhà tổ chức cuộc thi TippingPoint – cho biết Nils – tên của chuyên gia nghiên cứu bảo mật trên đây – chỉ mất có 5 phút đã đột nhập thành công vào chiếc Sony Vaio Laptop. Lỗ hổng bảo mật mà Nils sử dụng là một lỗi chưa hề được biết đến trước đây.
Chiếc Sony Vaio được sử dụng trong cuộc thi lần này được cho là sử dụng phiên bản mới nhất Windows 7 chỉ được dùng thử nghiệm riêng trong nội bộ được tích hợp sẵn Internet Explorer 8. Chỉ vài giờ sau khi sự kiện trên đây diễn ra Microsoft đã chính thức tung ra phiên bản chính thức IE8. Song hiện vẫn chưa có phiên bản chính thức IE8 cho Windows 7.
Ông Forslof khẳng định Microsoft cần phải xem xét thật kỹ lỗi bảo mật trên đây. “Đã từng có trường hợp sản phẩm bị lùi thời hạn phát hành do phát hiện được những lỗi bảo mật cực kỳ nghiêm trọng”.
Theo quy định của PWN2OWN, TippingPoint sẽ nắm quyền sở hữu đầy đủ các thông tin và mã khai thác lỗi bảo mật đã được chuyên gia Nils sử dụng trong cuộc thi. Những thông tin này sau đó đã được chuyển giao đầy đủ cho phía Microsoft.
“Có một điểm rất đặc biệt ở PWN2OWN đó là đại diện của Microsoft trực tiếp có mặt và chứng kiến cuộc thi diễn ra từ đầu đến cuối. Chắc chắn họ đã nhận diện rất rõ vấn đề. Mọi thông tin chi tiết lỗi hiện đã được cung cấp đầy đủ cho ông Mike Reavey – Giám đốc phụ trách Trung tâm nghiên cứu bảo mật của Microsoft”.
Không những thế Microsoft còn có cơ hội được trao đổi trực tiếp với chuyên gia Nils. Chỉ khoảng 5 giờ sau khi cuộc thi kết thúc Microsoft đã có thể tái hiện đầy đủ những gì mà Nils thực hiện ngay tại phòng thí nghiệm của hãng.
Song Microsoft hiện vẫn từ chối xác nhận về lỗi bảo mật trên đây. “Microsoft hiện vẫn đang điều tra chi tiết về lỗi này. Khi có đầy đủ thông tin chúng tôi sẽ có những bước đi cần thiết để bảo vệ người sử dụng IE8,” người phát ngôn của hãng khẳng định.
Người phát ngôn Microsoft cũng từ chối trả lời câu hỏi về việc liệu có phải lỗi bảo mật mà Nils sử dụng là một lỗi thuộc về IE8 tích hợp trong Windows 7 hay trong mọi phiên bản thử nghiệm trình duyệt này đã phát hành từ trước tới nay.
Nils và 15.000 USD tiền thưởng
IE8 không phải là trình duyệt duy nhất bị Nils “chọc thủng” trong ngày hôm qua (19/3). Sau khi hạ gục IE8 chuyên gia này đã chuyển sang tấn công Safari của Apple và Firefox của Mozilla.
Với cả hai loại trình duyệt này Nils cũng đều thành công góp phần đưa tổng giải thưởng mà chuyên gia này giành được tại cuộc thi PWN2OWN trong chiều hôm qua lên tới con số 15.000 USD. Safari và Firefox đều chạy trên nền chiếc Sony Vaio Laptop nói trên.
Ngoài tổng số giải thưởng bằng tiền mặt trên đây Nils còn được tặng một chiếc máy tính xách tay Sony Vaio.
Ông Forslof cho biết PWN2OWN khác hẳn với cuộc thi tương tự trong năm ngoái. Khi đó cả cuộc thi chỉ có duy nhất 2 lỗi bảo mật được tiết lộ. “Nils giành giải thưởng với IE8 và mọi người tưởng rằng thế là sẽ hết. Nhưng một lúc sau Nils quay lại và đề nghị được thử sức với những lỗi bảo mật Safari và Firefox của anh ấy. Và anh ấy cũng đã thành công”.
“Chỉ trong vòng có hai giờ đồng hồ chiều qua chúng tôi đã có được 4 lỗi bảo mật. Tổng giải thưởng phát đi đã lên tới 20.000 USD”.
Trước khi Nils giành chiến thắng với IE8, Charlie Miller – chuyên gia nghiên cứu bảo mật về Mac – cũng đã ginàh được giải thưởng sau khi tấn công thành công Safari. Ngoài giải thưởng trị giá 5.000 USD, Miller còn được thưởng một chiếc MacBook.
PWN2OWN sẽ kết thúc trong ngày mai. Đây là cuộc thi được tổ chức thường niên tại sự kiện Hội nghị bảo mật CanSecWest được tổ chức tại Canada. Trình duyệt chỉ là một phần của cuộc thi năm nay. Mục tiêu chính của PWN2OWN 2009 chính là các hệ điều hành di động như Google Android, Symbian, hệ điều hành trên iPhone và BlackBerry. Giải thưởng lớn nằm ở phần thi này song hiện vẫn chưa có ai giành được.
Nguồn:PCWorld
Tue Sep 10, 2013 3:38 pm by ngotuong90
