Safari, IE bị tấn công đầu tiên tại Pwn2Own
Các hacker đã nhanh chóng phá vỡ lỗ hổng của 2 trình duyệt Apple Safari và Microsoft Internet Explorer (IE) trong cuộc thi Pwn2Own tại hội nghị bảo mật CanSecWest diễn ra ở Vancouver.
Nhóm nghiên cứu bảo mật Vupen (Pháp) là người giành chiến thắng khi thực hiện trên MacBook Air mới sau khi phát hiện được lỗ hổng bảo mật chưa được vá trong trình duyệt Safari.
Tuy nhiên, trước khi diễn ra cuộc thi ít phút, Apple đã cập nhật lên phiên bản Safari 5.0.4 với 62 bản vá lỗ hổng được bịt lại. Trong những lỗ hổng được bịt lại lần này có sự xuất hiện của bản vá lỗi mà nhóm Vupen đó phát hiện.
Hậu quả là, HP TippingPoint, nhà tài trợ cuộc thi bảo mật Pwn2Own cho biết rằng việc Apple cập nhật bản vá lỗi cho Safari trước ít phút diễn ra cuộc thi có thể sẽ làm ảnh hưởng đến những người nhận được giải thưởng. Đại diện của HP TippingPoint là ngài Peter Vreugdenhil cho biết, các trình duyệt đã được “đóng băng” 2 tuần trước khi diễn ra cuộc thi, đó là phiên bản 5.0.3 được cài sẵn trên MacBook Air vốn vẫn còn hiện diện lỗ hổng. Nếu lỗ hổng được sử dụng bởi Vupen để hack Safari vốn đã được cố định trong 5.0.4 thì HP TippingPoint sẽ không trao giải thưởng 15.000 USD. Tổ chức này chỉ chấp nhận trao giải thưởng cho lỗi được phát hiện ngay cả đối với phiên bản trình duyệt mới nhất.
Đây được xem là lần đầu tiên sau 4 năm, người giành chiến thắng trong việc hack trình duyệt Safari rơi vào tay một người không phải là Charlie Miller, một chuyên gia phân tích của nhóm bảo mật Independent Security Evaluators (ISE) và là đồng tác giải của sổ tay Hacker Mac. Ông này đã chiến thắng trong các cuộc thi Pwn2Own diễn ra trong các năm 2008, 2009 và 2010 thông qua Safari.
Trong khi đó, IE8 của Microsoft cũng nhanh chóng bị phá vỡ lỗ hổng. Lỗ hổng nằm ở chế độ bảo vệ bên trong tính năng sandbox mà Microsoft trang bị cho trình duyệt này. Tuy nhiên, việc cũng thực hiện như Apple là cập nhật bản vá hồi đầu tuần khiến nó có thể ảnh hưởng đến việc trao giải cuộc thi.
Ngoài ra, một số kỳ vọng về việc hack trình duyệt Firefox chưa được thực hiện. Các chuyên gia bảo mật cho rằng, họ sẽ chờ đến ngày thứ 5 này để xem ai sẽ là người nhận được giải thưởng bẻ khóa cáo lửa.
Phong Vân (Theo ComputerWorld)