В рамках Pwnie Awards 2013 определены наиболее существенные уязвимости и провалы в безопасности
На конференции Black Hat состоялась церемония вручения премии Pwnie Awards 2013, в рамках которой выделены наиболее значительные уязвимости и абсурдные провалы в области компьютерной безопасности. Pwnie Awards считается аналогом Оскара в области компьютерной безопасности и проводится ежегодно, начиная с 2007 года. Основные номинации:
Лучшая серверная ошибка, победителем в которой становится человек, нашедший и использовавший наиболее технически сложную и интересную ошибку в сетевом сервисе. Победителем признана уязвимость в YAML-обработчике Ruby on Rails (CVE-2013–0156), позволяющая выполнить код на сервере. В качестве претендентов упомянуты уязвимости в СУБД Oracle, nginx, SAPRouter и Asterisk. Лучшая ошибка в клиентском ПО. Победителем признана уязвимость в Adobe Reader (CVE-2013–0641), позволяющая выйти за пределы изолированного Sandbox и выполнить код в системе при открытии специально оформленного PDF-файла. В качестве претендентов упомянуты уязвимости в WebKit, Adobe Flash и Internet Explorer. Лучшая уязвимость, приводящая к повышению привилегий. Победителем стала серия уязвимостей в ядре iOS (CVE-2013–0977, CVE-2013–0978 и CVE-2013–0981). В качестве претендентов упомянуты уязвимости в ядре Linux, win32k.sys и Motorola TrustZone; Наиболее инновационное исследование: Идентификация и эксплуатация эффекта гонки в ядре Windows. В качестве претендентов упомянуты публикации об атаке CRIME и технике обхода ASLR. Самый большой провал (Most Epic FAIL): В печатном журнале Hackin9, была опубликована абсолютно абсурдная статья «Nmap: The Internet Considered Harmful — DARPA Inference Checking Kludge Scanning», составленная из нагромождения не связанных с друг другом терминов. Редакторы явно не прочитали и не вникли в бессмысленность данного материала, перед его публикацией. В качестве претендентов упомянуты провалы CryptoCat и Sophos, а также уязвимость, позволяющая внести изменения в Android-пакеты без нарушения цифровой подписи. Самая значительное проникновение (Epic 0wnage), вручается за самый разрушительный и наиболее освещаемый СМИ взлом, а также за публикацию информации об уязвимости, приведшей к этому взлому. Победителем признан Эдвард Сноуден и его история с раскрытием секретов АНБ. Edward Snowden and the NSA
© OpenNet
