Tijdens een populaire hackerwedstrijd zijn onderzoekers erin geslaagd de meest recente versies van Google Chrome, Mozilla Firefox, Internet Explorer 10 en Java te hacken. Gisterenavond laat begon in het Canadese Toronto Pwn2Own waar hackers en onderzoekers 560.000 dollar kunnen winnen door ernstige beveiligingslekken te vinden in populaire browsers en plug-ins.
Als eerste sneuvelde Java, dat uiteindelijk drie keer werd gehackt. Een uur later was het de beurt aan Internet Explorer 10 op Windows 8, dat door het Franse beveiligingsbedrijf VUPEN werd gehackt zonder dat de browser crashte. Hackers Nils en John van MWR Labs slaagden erin om Google Chrome op Windows 7 te kraken. In het geval van IE10 en Chrome werd in beide gevallen uit de sandboxbeveiliging ontsnapt.
VUPEN lukte het na IE10 op een MS Surface Pro tablet met Windows 8 én Java ook om Firefox te kraken. Hiervoor gebruikte het een nieuwe techniek om de ASLR- en DEP-beveiliging van Windows 7 te omzeilen. DEP en ASLR zijn juist bedoeld om misbruik van softwarelekken en het uitvoeren van kwaadaardige code te voorkomen.
Prijzengeld
Voor de kwetsbaarheden in Google Chrome en IE10 krijgen de onderzoekers elk 100.000 euro. Het Firefox-lek leverde 60.000 dollar op, omdat Firefox als minder goed beveiligd werd ingeschat wegens het ontbreken van een sandbox. Het al door vele lekken geplaagde Java leverde de twee onderzoekers en VUPEN elk 20.000 dollar op.
Details over de kwetsbaarheden worden pas bekendgemaakt als ze door de betreffende leverancier zijn gepatcht. Pwn2Own wordt georganiseerd door beveiligingsbedrijf TippingPoint, dat de gevonden lekken gebruikt om de eigen klanten te beschermen. Wel deelt het informatie over de lekken met de leverancier in kwestie.
Deze posting is gelocked. Reageren is niet meer mogelijk.