[Pwn2Own 2012] Chrome โดนเจาะแล้วเป็นรายแรกของงาน!

By: pe3z
Writer
on 8 March 2012 - 13:08 Tags:
Topics: 
Security
Hacking
Chrome
Pwn2Own
Hacker
Node Thumbnail

แม้จะมีการแพตซ์ช่องโหว่ของเบราว์เซอร์ไปแล้วก่อนการแข่งขันจะเริ่ม แต่ไม่สามารถที่จะแพตซ์ความทะเยอทะยานของเหล่าแฮกเกอร์ได้แน่นอนครับ เมื่อ Chrome เบราว์เซอร์ที่อยู่รอดมาจากการแฮ็กในครั้งก่อนๆ กลับกลายเป็นเบราว์เซอร์ตัวแรกในปีนี้ที่โดนแฮ็ก

จากบทสัมภาษณ์ทีม VUPEN ซึ่งเป็นทีมแฮกเกอร์สัญชาติฝรั่งเศส เขากล่าวว่าในการแข่งขันครั้งนี้เขาใช้สองช่องโหว่สำหรับการโจมตีไปยังเครื่องที่ใช้ในการทดสอบ ช่องโหว่แรกคือช่องโหว่ที่มีหน้าที่เข้าไปปิดการทำงานระบบ DEP/ASLR ของ Windows ที่ใช้ในการแข่งขัน และช่องโหว่ที่สองคือช่องโหว่ที่มุ่งโจมตีไปยัง Sandbox ซึ่งช่องโหว่ทั้งสองแห่งนี้ใช้เวลาในการพัฒนาถึง 6 อาทิตย์ ซึ่งจากผลลัพธ์การแข่งขันครั้งนี้ ทาง VUPEN ก็สรุปง่ายๆ ว่า 'no software is unbreakable!'

ที่มา - Hack in the Box, The Verge, ZDNet

Get latest news from Blognone

Comments

By: newstar
iPhoneWindows PhoneAndroid
on 8 March 2012 - 13:13 #392563

ฝรั่งเศสครับไม่ใช่ เศษ

By: pe3z
Writer
on 8 March 2012 - 13:17 #392568 Reply to:392563

แก้ไขแล้วครับ ขอบคุณครับ

By: 0rmsin
ContributorRed HatUbuntu
on 8 March 2012 - 13:17 #392569
0rmsin's picture

UNSTOPPABLEEE!!! ULLLLLTRA KILLL!!!! XD

By: aeke88
iPhoneAndroid
on 8 March 2012 - 13:53 #392599 Reply to:392569
aeke88's picture

Rampage !!!

By: viroth
ContributorBlackberryIn Love
on 8 March 2012 - 14:19 #392615 Reply to:392569
viroth's picture

Annihilation!!!

Immortal !!

By: lexurous on 8 March 2012 - 16:08 #392694 Reply to:392569
lexurous's picture

Beyond Golf-Mike!!!!

By: ZeroEngine
ContributorRed HatSUSEUbuntu
on 8 March 2012 - 19:33 #392798 Reply to:392569

First Blood!!!

เกี่ยวไหมนิ...

[Blog ZeroEngine] [@ZeroEngines]

By: Aphichit
Ubuntu
on 8 March 2012 - 13:34 #392580

ใน Linux จะโดนเจาะไหมครับ

By: uplink
iPhoneAndroid
on 8 March 2012 - 13:46 #392591 Reply to:392582
uplink's picture

ใช่ๆๆๆ กำลังจะพิมพ์เลย... ว่าเขาได้รับเงินรางวัลเท่าไหร่หงะ ?

By: pe3z
Writer
on 8 March 2012 - 13:57 #392601 Reply to:392582

จ่ายเรียบร้อยแล้วครับ ครบจำนวน $60,000

By: Invisible Force
ContributoriPhoneAndroidUbuntu
on 8 March 2012 - 15:23 #392669 Reply to:392601
Invisible Force's picture

เป็น 6 อาทิตย์ ที่คุ้มค่าเหนื่อยมากๆ ^^

By: put4558350
ContributorAndroidUbuntuWindows
on 8 March 2012 - 18:26 #392772 Reply to:392669
put4558350's picture

เกือบ 2 ล้านบาท ใน 6 อาทิตย์ !!!

samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo

By: nuclearlab
In Love
on 8 March 2012 - 16:48 #392709 Reply to:392601
nuclearlab's picture

ยังกะแอนตาซิล แตกจริงจ่ายจริง

By: aga2405
Windows PhoneAndroidSymbian
on 9 March 2012 - 14:33 #393021 Reply to:392582

ชอบชื่อคุณจริง "คอมไซน์" ไม่ได้เป็นแค่โปรแกรมเมอร์ -> แต่ให้ตรู ซ่อมพรินเตอร์ ตลอดเรย T_T

By: exFictitiouZ
ContributorAndroid
on 8 March 2012 - 13:43 #392587

เห็นหัวข้อข่าวแล้วกาแฟแทบพุ่ง

twitter.com/exfictz

By: Justin Harles
AndroidWindows
on 8 March 2012 - 13:50 #392594

นี่ออกแนวหมั่นไส้ แล้วจงใจหาเรื่องเจาะหามานานแล้วสินะ ฮ่าๆ

By: Ready2go
ContributoriPhoneWindowsIn Love
on 8 March 2012 - 14:11 #392609

ในช่วงระหว่างตรวจหาและทดสอบเจาะช่องโหว่คงลุ้นน่าดูว่าจะมี Patch มาอุดในสิ่งที่เค้าเจอมั้ย (อันนี้ Google ก็คงไม่รู้เหมือนกัน ไม่งั้นไม่น่าปล่อยมาได้)

ถ้า Google ดันเจอก่อนแล้วอุดซะก่อนเข้างาน ความพยายาม 6 สัปดาห์นี่หายไปกับอากาศเลยนะครับ

ยอดเยี่ยมและโชคดีมากครับ VUPEN

Technology is so fast!

By: 0rmsin
ContributorRed HatUbuntu
on 8 March 2012 - 14:33 #392628 Reply to:392609
0rmsin's picture

จริงๆ ผมว่า Hacker และ Cracker ในชีวิตจริงก็คงต้องลุ้นแบบเนี้ยแหละ กับอะไรที่แพตช์บ่อยๆ

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 8 March 2012 - 14:34 #392629 Reply to:392609
PaPaSEK's picture

อันนี้ผมว่าทีมพัฒนา Chrome คงจะคาดไม่ถึง เพราะเฮียแกเล่นเจาะผ่านมาทาง Windows ก่อน ถ้าผมเป็นทีมพัฒนา ผมก็คงอ้างต่อว่า "เพราะเรา patch Windows ไม่ได้"

ถ้าใครไปงาน Google Dev Con บ่อยๆ จะเห็นว่าทีมงานของกูเกิลส่วนมากใช้ Mac ผมเลยเดาว่าทีมพัฒนาอาจจะทดลองแต่บน Mac

สรุปคือ Windows ผิด

/me:ล้มโต๊ะ!!

By: -Rookies-
ContributorAndroidWindowsIn Love
on 8 March 2012 - 14:52 #392642 Reply to:392629

นั่นสิ ผมอ่านแล้วก็คิดเหมือนกันว่าตกลงมันความผิดใคร? หรือผิดกันคนละครึ่ง?

เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!

By: wichate
Android
on 8 March 2012 - 15:45 #392678 Reply to:392629

ใช่เลย เป็นผมคงไม่เอา chrome ที่ลงบน windows ไปให้ Hack หรอกครับ

ปล.ไม่ใช่ว่า windows ห่วยนะครับ แต่เพราะมันเป็นเป้าที่ Hacker เขาพยายามจะเจาะอยู่แล้ว

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 8 March 2012 - 16:24 #392700 Reply to:392629
PaPaSEK's picture

หลังจากงานนี้กลุ่ม VUPEN โดนโมโครซอฟท์ฟ้องร้องเรียกค่าเสียหายที่เจาะ Windows เป็นเงิน 60,001 USD

By: dangsystem
iPhoneAndroidBlackberryWindows
on 9 March 2012 - 09:42 #392941 Reply to:392629
dangsystem's picture

ผมถามนิดนึงว่าในข่าวบอกต่อมั้ยว่า Hack Chrome ต่อยังไง ทำไมบอกแค่ Hack windows ละ

ตอนแรกผมนึกว่ากติกาให้ Hack เฉพาะ Chrome ซะอีก -"-

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 9 March 2012 - 12:40 #392993 Reply to:392941
PaPaSEK's picture

"และช่องโหว่ที่สองคือช่องโหว่ที่มุ่งโจมตีไปยัง Sandbox"

Sandbox ที่ว่าเป็นของ Chrome ครับ ซึ่งตามหลักแล้ว Sandbox จะเป็นส่วนที่กัน remote user ออกจาก local environment ครับเรียกได้ว่าเป็น security ที่สำคัญของ browser เลยทีเดียว

อ่านต่อเรื่อง Sandbox ได้จาก Wikipedia ครับ

By: ZestPluZ
SymbianWindows
on 8 March 2012 - 14:31 #392626
ZestPluZ's picture

By: pat4310
Windows PhoneAndroid
on 8 March 2012 - 14:33 #392627 Reply to:392626

ช่องโหว่

By: CrazyPower
iPhoneBlackberryRed HatIn Love
on 8 March 2012 - 14:41 #392634 Reply to:392626
CrazyPower's picture

โหว่เยอะซะด้วยนะ

By: Be1con
ContributorWindows PhoneWindowsIn Love
on 8 March 2012 - 18:11 #392756 Reply to:392626
Be1con's picture

555

Coder | Designer | Thinker | Blogger

By: HMage
AndroidWindows
on 8 March 2012 - 21:47 #392843 Reply to:392626

๕๕๕

By: i-present
ContributorAndroidUbuntuWindows
on 8 March 2012 - 14:44 #392639

hacker ทำเงินได้

By: angel13th
Android
on 8 March 2012 - 15:01 #392652
angel13th's picture

C-C-C-Combo Breaker!!

By: Architec
ContributorWindows PhoneAndroidWindows
on 8 March 2012 - 15:20 #392667

ส่วนตัวไม่เคยเชื่อว่า sandbox มันจะปลอดภัยตั้งแต่แรกละ (แต่ก็ดีกว่าไม่มีล่ะนะ)

By: rattananen
AndroidWindows
on 8 March 2012 - 15:53 #392682

ในโลกนี้มันมีแต่ระบบที่ถูกเจาะ กับระบบที่ไม่ถูกเจาะเท่านั้นล่ะครับ ระบบที่เจาะไม่ได้มันไม่มีหรอกครับ

By: cavaji
AndroidUbuntu
on 8 March 2012 - 16:03 #392690 Reply to:392682
cavaji's picture

+1

By: imQube
iPhoneAndroid
on 8 March 2012 - 17:33 #392734 Reply to:392682

Off Line System ตึงโป๊ะ! (ขำๆ น่ะครับ)

By: aga2405
Windows PhoneAndroidSymbian
on 9 March 2012 - 14:30 #393020 Reply to:392734

หรือ อย่าให้รู้ตั้งที่ไหน จะไปเจาะ(สว่าน เลื่อย ค้อน คีม ฯลฯ นำหน้า)
ผ่านประตูไปแล้วก็ ไม่เหลือ

By: grenadin
iPhoneWindows PhoneAndroidWindows
on 8 March 2012 - 16:02 #392688
grenadin's picture

น่านนนนน

By: breambeem
UbuntuWindows
on 8 March 2012 - 20:01 #392808

ถ้าผมเป็น hacker จะจ้องเล่น Chrome ตัวแรก เพราะว่ารางวัลนี้แหละ :)

By: tanit9999
iPhoneAndroidUbuntu
on 8 March 2012 - 20:42 #392825
tanit9999's picture

ปีนี้ตั้งเงินซะสูงเป็นผมก็จ้องจะงาบเจ้าแรก

By: 44244
iPhone
on 10 March 2012 - 00:00 #393262

ไม่มีอะไรที่เจาะไม่ได้ มีแต่ไม่มีอะไรให้เจาะ...