VMware, ölümcül güvenlik açıklarını düzeltir, 360 hacker ekibinin ve Kore dahisinin efsanevi geçmişini ortaya çıkarır
Sadece birkaç gün önce, Güney Kore'nin Seul kentinde düzenlenen Pwnfest cracking yarışmasında, deneyimli sanallaştırma üreticisi VMware'in Workstation'ı, sanal makineden kaçmak için 360'tan Marvel Team ve Koreli bir dahi olan Lokihardt tarafından kırıldı.
Leifeng.com'da tanıtılan Marvel Ekibinin başkanı Tang Qinghao'ya göre, bu güvenlik açığı çok zararlıdır ve bilgisayar korsanlarının sanal makineden ana bilgisayara "kaçmasına" izin verir, böylece ana bilgisayarın üzerinde çalışan tüm sanal makineleri görüntüleme ve değiştirme yetkisini kullanır. Makine bilgileri.
Ve bugün, VMware bu güvenlik açığından etkilenen tüm yazılımları için en son sürüm güncellemesini yayınladı ve bu güvenlik açığının sayısını duyurdu: CVE-2016-7461. Ayrıca 360 Marval Ekibinden Tang Qinghao ve Ying Xin'e teşekkür ederiz. Lei ve Kore dahisi Lokihardt.
[VMware resmi web sitesindeki güvenlik açığı ayrıntılarındaki onay beyanı]
Bu boşluktan bahsetmişken, ilginç bir hikaye var.
Koreli dahi ve 360 efsane güreş
PwnFest yarışma sitesinde, VMware organizatörlerin kırma hedeflerinden biriydi. Organizatör, Workstation'ı hackleyebilen bilgisayar korsanları için 150.000 $ 'a kadar bonus sağladı. Kurallar, birden fazla oyuncu kırmaya katılırsa, sıranın kura çekilerek belirleneceğini öngörür. İki oyuncu grubu, genellikle "delik vurma" olarak bilinen aynı boşluğu kullanırsa, para ödülü ilk çatlak oyuncular grubuna aittir.
Bu oyunda bu oldu.
[Tang Qinghao (sağdaki resim) ve Ying Xinlei (soldaki resim) PwnFest'te VMware Workstation'ı başarıyla kırdı]
360'tan Marvel Ekibi ilk çekilişi yaptı ve başarılı bir şekilde kırıldı; Güney Koreli hacker dahisi Lokihardt da başarılı bir şekilde kırıldı. Ancak VMware mühendisleri, iki hacker grubunun tamamen aynı güvenlik açıklarını kullandığını doğruladı. Kurallara göre bonus Marvel Ekibi tarafından kazanılmalıdır.
Ancak Leifeng.com'dan öğrenilen habere göre, Koreli dahisi VMware mühendisi ile oyunu yeni bitiren 360'ın "bir çukura" düştüğünü ve biraz pişmanlık duyduğunu öğrendikten sonra klavyeye bir süre dokunarak mühendise sordu: "Değişeceğim Bir güvenlik açığından yararlanmanın bir yolu, siz ne düşünüyorsunuz? "
Mühendisler, sadece birkaç on saniye içinde çocuk dahinin, güvenlik açığından tamamen farklı bir şekilde yararlanma yöntemini değiştirdiğini görünce şok oldular. Bu kullanım yöntemi, VMware'e ürün güvenliği açısından da çok ilham veriyor. Bu nedenle, her iki hacker grubunun da 150.000 $ ödül alabileceğine hemen karar verildi.
Delik çıkıntıları kaçınılmazdır, ancak gelgiti döndürmek için yerinde kod değişikliği şaşırtıcıdır. (Deliğe girdikten sonra, yerinde değiştirilen kod hala çok yakışıklı görünüyor ki bu belki de en harika yer.)
Marvel Team'in başkanı Tang Qinghao da çocuk dahinin gökyüzüne karşı gösterdiği performansa hayranlığını dile getirdi. Belki de bunun zorluğunu sadece hackerlar anlayabilir.
[Koreli dahisi Lokihardt (bir solda) yerinde VMware Workstation'ı kırdı]
VMware'in performansı olağanüstü
Kore dahisinin performansı dikkat çekicidir, ancak VMware'in güvenlik açığına tepki hızı da dikkate değerdir.
Yarışmadan önce Tang Qinghao, VMware gibi geleneksel yazılım satıcılarının bu güvenlik açığını gidermesinin iki ay sürebileceğini tahmin ediyordu. Aslında, bilgisayar korsanları tarafından güvenlik açığının sunulmasından VMware'in tüm ürün yamalarını başlatmasına kadar geçen süre yalnızca beş gün sürdü.
Tang Qinghao, Leifeng.com'a şunları söyledi:
PwnFest'te kırılan yazılım satıcıları arasında, VMware, güvenlik açıklarını gidermede en iyi verime sahiptir. Güvenlik açıklarını düzeltme hızı, Google ve Apple'ınkini bile aşıyor.
Bu açıdan bakıldığında, VMware'in yazılım güvenliğine yaptığı vurgu övgüye değer.
Ancak Tang Qinghao, Lei Feng.com'a kendisi ve Marvel Ekibinin çeşitli VMware ürünlerinde hala güvenlik açıkları aradıklarını söyledi. Hayal etmek.
Merak ediyorum, VMware'in çocuk ayakkabıları bir sonraki boşluklarını düzeltmeye hazır mı?
Son olarak Mimei'nin isteği üzerine Lokihardt'ın yakışıklı fotoğraflarının keyfini çıkaralım.
