해킹대회 Pwn2Own에서 사파리와 익스플로러가 굴욕적인 첫날 함락을 맛보았다. 3월 9일부터 11일까지 벤쿠버에서 열리는 이 대회에서 사파리를 함락시킨 프랑스 보안 회사 '부펜' 팀이 1만 5천달러와 맥북 에어를 받아갔다. 2008년 사파리는 2분 만에 돌파당했지만 올해는 더 굴욕적으로 단 5초만에 해킹당하고 말았다.
이날 애플은 사파리를 5.0.4로 업데이트 하면서 62개의 결함을 보완했지만 부펜 팀은 여전히 브라우저를 해킹할 수 있었다. "애플은 Pwn2Own이 실시되기 직전에 사파리 5.0.4와 iOS4.3의 업데이트를 실시했다. 몇가지 결함이 막히긴 했지만 전부는 아니었다!"
대회 자체는 2주 전 업데이트를 기점으로 브라우저를 '동결' 되도록 하였기 때문에 사파리는 그보다 전 버전이었고 크롬은 9, IE는 8, 파이어폭스는 3.6이었다. 하지만 사파리의 새 업데이트는 해킹대회에 사용된 기법을 막아내는 내용은 아니었다. 5.0.3에서 이용된 버그는 5.0.4에 여전히 남아있음이 확인되었다.
마이크로소프트 IE8 또한 첫번째 공격에 무너졌다. 공격자 스티븐 퓨어는 1차 목표로 IE8을 택했다. 퓨어는 하모니 시큐리티의 설립자이며 대회 운영측인 티핑포인트의 버그 리포트 프로그램에도 꾸준히 참여했다. 퓨어는 보안모드를 통과하기 위해 세가지 별개의 보안결함을 이용하였다. 구글과 애플, 모질라는 Pwn2Own에 앞서 브라우저 패치를 단행했지만 MS는 사용자들을 불필요하게 불안하게 만들지 않기 위해 이런 타이밍에 패치를 내놓지는 않을 거라고 주장했다.
하지만 구글이 크롬의 보안결함에 내건 2만 달러의 상금은 무사했다. 둘째날 두명의 도전자가 크롬에 도전했지만 둘 다 실패하고 말았다. 첫 시도자는 완전히 포기했으며 두번째 팀은 크롬을 그만두고 블랙베리에 집중하기로 결정했다. 아직 경기가 완전히 종료된 건 아니지만 더이상 도전자가 나올 것 같진 않다. 이번에 방어에 성공한다면 크롬은 3년 연속으로 생존한 브라우저란 기록을 세우게 된다.
남은 일정 동안에는 모질라 파이어폭스와 애플 iOS, 구글 안드로이드, MS 윈도폰7, RIM 블랙베리가 목표가 될 예정이다.
- 1줄 요약 -
익스는 그저 결제용
돌겜
오버
히오스
디아3
