פרצה בדפדפן Safari: האקר פרץ למק בדקתיים
בתחרות אבטחה שנערכה בוועידת CanSecWest, הצליח צ'רלי מילר, מומחה אבטחה עצמאי להשתלט על מחשב Macbook Air תוך 2 דקות דרך הדפדפן. במקביל, נמצאו פרצות אבטחה בדפדפן Safari בגירסתו ל-Windows
בפרסומות הידועות של אפל עם שני שחקנים, האחד הוא מחשב PC והשני הוא מחשב מק, לועגת בין השאר אפל למיקרוסופט לפרצות האבטחה של Windows. אך האקר שהצליח להשתלט על Macbook Air תוך שתי דקות - שומט את השטיח מתחת לרגלי הפרסומת הלעגנית.
בטוח.
הדבר אירע במסגרת תחרות שנערכת זו השנה השנייה במסגרת ועידת האבטחה CanSecWest תחת השם PWN 2 OWN, כפי שמדווח המגזין PCWorld. פירוש הקיצור PWN בסלנג של האקרים הוא להשתלט על מחשב (PAWN). ה-OWN, הוא כמובן, הפרס לזוכה, שייקח הביתה את המחשב עליו הצליח להשתלט ובנוסף פרס כספי. בעקיפין, מעמת האתגר את מערכי האבטחה של שלוש מערכות ההפעלה הנפוצות: Windows Vista, OSX ולינוקס, בהציבו שלושה מחשבים שונים כמטרות פריצה.
מומחה האבטחה העצמאי צ'רלי מילר, היה אחד המועמדים המועדפים לזכייה, בכך שהתבלט בוועידה שנה שעברה כאחד מפורצי האבטחה של מכשיר ה-iPhone. מילר הצליח להשתלט על מחשב ה-MacBook Air לאחר שגלש לאתר בו הכין מראש את קוד הפריצה שלו. האתגר שהוצב למומחי האבטחה המתחרים הוא לקרוא את תוכנו של קובץ מסויים המאוחסן על המחשב. מילר הגיע אל הקובץ תוך פחות משתי דקות.
ביום הראשון של התחרות, הורשו המתחרים לנסות רק התקפות באמצעות הרשת. איש לא ציפה כי ביום הראשון יהיו זוכים. למחרת היום, רוככו הכללים וכעת ניתן היה לנסות לפרוץ למחשבים על ידי שימוש ישיר במחשב. הפורצים לא הורשו להתקין כל תוכנה על המחשב והיו יכולים לנצל רק פרצות בתוכנה שכבר הייתה מותקנת. הפרס ירד אף הוא ל-10,000 דולר, וביום הזה הצליח מילר לפרוץ את המק ולקחת הביתה גם המחאה שמנה.
מילר ניצל למעשה פרצת אבטחה בדפדפן של אפל, Safari. הוא מייד הוחתם על הסכם סודיות על ידי חברת האבטחה TippingPoint, שתרמה את הפרס הכספי. מילר אינו רשאי לשוחח על הפרצה, בטרם תודיע החברה לאפל על מהותה.
פורצים ל-Safari
במקביל לגילוי הפרצה הזו בדפדפן, הודיע ההאקר הארגנטיני חואן פבלו לופז כי מצא פירצת אבטחה בגירסה 3.1 של Safari ל-Windows, שיצאה לרשת השבוע. על פי לופז טעות בטיפול בשמות ארוכים של קבצי ZIP להורדה יכולה לשמש פורצים להפעלת קוד זדוני. פירצה נוספת מאפשרת להריץ ברקע קוד שכזה, ובכל זאת להטעות את הגולש כי הגיע לאתרבדקנו
סקירה: Firefox 3.0 PE
שוקי גלילי
המהדורה הניידת של Firefox 3.0 כוללת שיפורים ותיקונים רבים בהשוואה לבטא שבדקנו בחודש ינואר. היא לא דורשת התקנה, וניתן להשתמש בה במקביל לגירסאות הקודמות של הדפדפן. בדקנו ונדלקנו
גילוי הפרצות האלה לגירסת חלונות של הדפדפן Safari, מגיעות לצד האשמות שסופגת אפל, על כך שהיא "דוחפת" למשתמשי תוכנת המוזיקה שלה iTunes את הדפדפן מתוצרתה באמצעות מנגנון עדכוני התוכנה של iTunes.
ג'ון לילי, מנכ"ל קרן מוזילה המפתחת את דפדפן Firefox המתחרה, מוביל את ההאשמות בפוסט שכתב בבלוג שלו, ובו הוא מאשים את אפל שהיא מחבלת ביחסי האמון בין חברות גדולות והצרכנים שלהם, וההתנהלות שלה מהלכת על גבול הפצת זודנה (malware).
מומלצים
