Názory k článku
Pwn2Own: Hned první den padl Internet Explorer, Firefox ...

Různí jednotlivci a skupiny hledají bezpečnostní chyby v různých produktech ze dvou důvodů: výdělek a zářez do životopisu. S životopisem je to jednoduché - když ukážete CVE, které vás označí jako toho, kdo problém objevil a popsal, vezmou vás nejspíše všude. U výdělku je to vlastně jasné taky - s exploitama se totiž na Internetu čile obchoduje (v šedé zóně, tj. neoficiálně, potajmu). Problém je, když se přijde na to, že jste to byl vy, kdo ten exploit na Netu prodával. Člověk, který se chová jako "zlý cracker" (též Black Hat), musí pracovat v utajení, protože ho nikdo nezaměstná, protože když není loajální sám k vlastní pověsti, nelze očekávat že bude loajální k firmě, která by ho zaměstnala (tj. lze očekávat, že při první příležitosti své postavení ve firmě zneužije). A závěr tedy je, že myslet si, že všechny chyby jsou známé a opravené je poněkud... naivní. Opravené chyby jsou bohužel pouze špička ledovce. Právě proto třeba Google vyplácí za nalezení chyby odměny (a už je párkrát zvýšil), aby takový člověk mohl zpeněžit své schopnosti legálně (a ku prospěchu Google).

O čem tu není zmínka a co je nejdůležitější, je že ve všech případech podlehly Windows a došlo k mnoha neznámým elevacím privilegií (tj. útočník se stal Administrátorem). To znamená, že ten systém je velmi nebezpečný.

Poznamenal bych, že se tentokrát AFAIK pod linuxem ani netestovalo, takže je možné, že je na tom podobně, jen to nevíme.

Jak ze skutecnosti, ze podlehl prohlizec na Widlich, vyplyva, ze podlehly i Widle?

Byly tam eskalace prav a obejiti windowsich bezpecnostnich technologii.

Ano, to byla. Utocnik vyuzil deraveho prohlizece k napadeni deravych Widli. Ale z toho, ze utocnik polozil prohlizec stale logicky nevyplyva, ze zaroven musely lehnout i Widle. Utocnik s klidem mohl skoncit s prohlizecem pod svoji kontrolou a Widle mohly vydrzet. Spravne by vydrzet mely, jak by clovek od OS chtel. To by ale, bohuzel, na Widle byl prilis vysoky pozadavek. Pokud to tedy LO nejak uspokojive nevysvetli, ze se jedna o ficuru a ne diru.