На хакерской конференции Black Hat состоялась церемония присуждения наград The Pwnie Awards, призы в которой были распределены по семи категориям и достались компаниям, создавшим самые глючные и уязвимые приложения, а также экспертам, их обнаружившим. В номинации "Самый громкий провал" победу одержал браузер Internet Explorer 8, в системе защиты которого от межсайтового скриптинга нашли баг, позволяющий этот межсайтовый скриптинг осуществлять.
Церемония The Pwnie Awards проводится с 2007 года, когда идею вручения таких наград предложили исследователи Дино Даи Зови и Александр Сотиров. Два этих эксперта до сих пор входят в состав судейского комитета, в котором заседают также HD Moore, Марк Дауд, Халвар Флэйк, Дейв Голдсмит и Дейв Эйтель.
В номинации "Лучший баг на стороне сервера" победил Медер Кадыралиев, обнаруживший критическую уязвимость в инфраструктуре Apache Struts2. Награду за лучший баг на стороне клиента забрал Сами Койву, создавший эксплоит, подрывающий основы модели безопасности Java.
Небезызвестный Тэвис Орманди из Google получил приз в категории "Лучший баг с повышением уровня привилегий", доставшийся ему за обнаружение бреши в обработчике прерываний Windows NT #GP. Награду за самый инновационный подход к исследованию получил Дионисий Блазакис, разработавший технологию обхода ASLR за счет уменьшения вариантов рандомизации с помощью размещения в памяти указателей на объекты Flash и использования метода JIT-spray.
Приз за лучшую рэп-композицию, написанную хакером, ушел к исполнителям Dr. Raid и Heavy Pennies, написавшим песню "Pwned - 1337 edition".
Награду за самую нелепую реакцию на обнаружение бреши получила фирма Absolute Software, вице-президент которой Тим Паркер так ответил на вопрос о критическом баге в программе удаленного администрирования LANRev:
"Есть ли теоретическая возможность эксплуатации этого? Конечно, есть. Однако нам не известно ни об одном клиенте, у которого были бы такие проблемы. Если бы хоть кто-то из них выразил озабоченность, мы бы немедленно выслали ему патч". Добавим лишь, что указанный баг позволял полностью скомпрометировать компьютер.
