"Oscary" za luki w zabezpieczeniach
Podobnie jak w ubiegłych latach, podczas konferencji Black Hat w Las Vegas rozdane zostały nagrody Pwnie, którymi wyróżniani są odkrywcy luk w zabezpieczeniach informatycznych.
Nagroda w kategorii najlepszego błędu po stronie serwera w tym roku trafiła do Medera Kydyralieva za wykrycie luki we frameworku Struts2. Używając żądania HTTP z pięcioma specjalnymi parametrami, udało mu się wykonać na serwerze dowolny kod Javy. Najlepszą lukę po stronie klienta wykrył Sami Koivu: za pomocą własnego exploita podważył model bezpieczeństwa Javy i w ten sposób wykonał kod na prawach zalogowanego użytkownika.
Niewiele chluby firmie Absolute Software przyniosło wyróżnienie najbardziej "lamerskiej" reakcji producenta (Lamest Vendor Response). Na informację o luce w zabezpieczeniach programu LANRev firma odpowiedziała następująco: "Czy teoretycznie możliwe jest wykorzystanie tej luki? Oczywiście, ale na razie żaden z naszych klientów nie zgłosił takiego problemu. Gdy tylko klienci wyrażą swoje wątpliwości, dostarczymy im odpowiedni patch".
Microsoft został wyróżniony w kategorii Most Epic FAIL. Błąd w filtrze XSS (Cross-Site Scripting) Internet Explorera 8 pozwala dokładnie na to, czemu filtr miał zapobiegać: atakom typu Cross-Site Scripting na stronach, które... były całkiem bezpieczne.
