Hackers vinden lekken in Firefox, Chrome, IE10 en Java
Tijdens een populaire hackerwedstrijd zijn onderzoekers erin geslaagd de meest recente versies van Google Chrome, Mozilla Firefox, Internet Explorer 10 en Java te hacken. Gisterenavond laat begon in het Canadese Toronto Pwn2Own waar hackers en onderzoekers 560.000 dollar kunnen winnen door ernstige beveiligingslekken te vinden in populaire browsers en plug-ins.
Als eerste sneuvelde Java, dat uiteindelijk drie keer werd gehackt. Een uur later was het de beurt aan Internet Explorer 10 op Windows 8, dat door het Franse beveiligingsbedrijf VUPEN werd gehackt zonder dat de browser crashte. Hackers Nils en John van MWR Labs slaagden erin om Google Chrome op Windows 7 te kraken. In het geval van IE10 en Chrome werd in beide gevallen uit de sandboxbeveiliging ontsnapt.
VUPEN lukte het na IE10 op een MS Surface Pro tablet met Windows 8 én Java ook om Firefox te kraken. Hiervoor gebruikte het een nieuwe techniek om de ASLR- en DEP-beveiliging van Windows 7 te omzeilen. DEP en ASLR zijn juist bedoeld om misbruik van softwarelekken en het uitvoeren van kwaadaardige code te voorkomen.
Prijzengeld
Voor de kwetsbaarheden in Google Chrome en IE10 krijgen de onderzoekers elk 100.000 euro. Het Firefox-lek leverde 60.000 dollar op, omdat Firefox als minder goed beveiligd werd ingeschat wegens het ontbreken van een sandbox. Het al door vele lekken geplaagde Java leverde de twee onderzoekers en VUPEN elk 20.000 dollar op.
Details over de kwetsbaarheden worden pas bekendgemaakt als ze door de betreffende leverancier zijn gepatcht. Pwn2Own wordt georganiseerd door beveiligingsbedrijf TippingPoint, dat de gevonden lekken gebruikt om de eigen klanten te beschermen. Wel deelt het informatie over de lekken met de leverancier in kwestie.
Je trapt wel een hele grote en wankele open deur in; natuurlijk is het onderliggende OS van invloed op het resultaat.
De categorieën van dit jaar waren:
Chrome op Windows 7
IE 10 op Windows 8
IE 9 op Windows 7
Firefox op Windows 7
Safari op OS X Mountain Lion
Plug-ins voor Internet Explorer 9 op Windows 7 (Adobe Reader XI, Adobe Flash, Oracle Java).
Ze houden vaak de bug voor zich om de informatie hierover door te verkopen.
Niet om weer een OS flame te ontketenen maar er lijkt een relatie met het gebruikte OS te zijn. Klopt het dat OS-X en de Linux versies van deze browsers (m.u.v. IE natuurlijk) niet gehackt zijn of zijn die niet getest?
Het maakt vaak niet uit omdat de zelfde lek ook te misbruiken is onder een andere OS alleen zijn de methoden om het te exploiten een beetje anders...
Ze houden vaak de bug voor zich om de informatie hierover door te verkopen.
Verkopen denk ik dan :(
Firefox 19.02 ? Zie: http://releases.mozilla.org/pub/mozilla.org/firefox/releases/19.0.2/win32/nl/
Of slaagde Mozilla als razende Roeland in het dichten van het gat naar aanleiding van de wedstrijduitslag?
[admin] Dat laatste, zie ook https://www.security.nl/artikel/45460/1/Mozilla_en_Google_dichten_Pwn2Own-lek_binnen_24_uur.html [/admin]
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
