image

Hackers vinden lekken in Firefox, Chrome, IE10 en Java

donderdag 7 maart 2013, 08:50 door Redactie, 6 reacties

Tijdens een populaire hackerwedstrijd zijn onderzoekers erin geslaagd de meest recente versies van Google Chrome, Mozilla Firefox, Internet Explorer 10 en Java te hacken. Gisterenavond laat begon in het Canadese Toronto Pwn2Own waar hackers en onderzoekers 560.000 dollar kunnen winnen door ernstige beveiligingslekken te vinden in populaire browsers en plug-ins.

Als eerste sneuvelde Java, dat uiteindelijk drie keer werd gehackt. Een uur later was het de beurt aan Internet Explorer 10 op Windows 8, dat door het Franse beveiligingsbedrijf VUPEN werd gehackt zonder dat de browser crashte. Hackers Nils en John van MWR Labs slaagden erin om Google Chrome op Windows 7 te kraken. In het geval van IE10 en Chrome werd in beide gevallen uit de sandboxbeveiliging ontsnapt.

VUPEN lukte het na IE10 op een MS Surface Pro tablet met Windows 8 én Java ook om Firefox te kraken. Hiervoor gebruikte het een nieuwe techniek om de ASLR- en DEP-beveiliging van Windows 7 te omzeilen. DEP en ASLR zijn juist bedoeld om misbruik van softwarelekken en het uitvoeren van kwaadaardige code te voorkomen.

Prijzengeld
Voor de kwetsbaarheden in Google Chrome en IE10 krijgen de onderzoekers elk 100.000 euro. Het Firefox-lek leverde 60.000 dollar op, omdat Firefox als minder goed beveiligd werd ingeschat wegens het ontbreken van een sandbox. Het al door vele lekken geplaagde Java leverde de twee onderzoekers en VUPEN elk 20.000 dollar op.

Details over de kwetsbaarheden worden pas bekendgemaakt als ze door de betreffende leverancier zijn gepatcht. Pwn2Own wordt georganiseerd door beveiligingsbedrijf TippingPoint, dat de gevonden lekken gebruikt om de eigen klanten te beschermen. Wel deelt het informatie over de lekken met de leverancier in kwestie.

Reacties (6)
07-03-2013, 09:15 door Anoniem
Niet om weer een OS flame te ontketenen maar er lijkt een relatie met het gebruikte OS te zijn. Klopt het dat OS-X en de Linux versies van deze browsers (m.u.v. IE natuurlijk) niet gehackt zijn of zijn die niet getest?
07-03-2013, 10:26 door choi
Door Anoniem: Niet om weer een OS flame te ontketenen maar er lijkt een relatie met het gebruikte OS te zijn. Klopt het dat OS-X en de Linux versies van deze browsers (m.u.v. IE natuurlijk) niet gehackt zijn of zijn die niet getest?

Je trapt wel een hele grote en wankele open deur in; natuurlijk is het onderliggende OS van invloed op het resultaat.
De categorieën van dit jaar waren:
Chrome op Windows 7
IE 10 op Windows 8
IE 9 op Windows 7
Firefox op Windows 7
Safari op OS X Mountain Lion
Plug-ins voor Internet Explorer 9 op Windows 7 (Adobe Reader XI, Adobe Flash, Oracle Java).
07-03-2013, 10:29 door Anoniem
Zal het bedrjf VUPEN dit keer de informatie wel delen zodat er gepatcht kan worden door de leverancier ?
Ze houden vaak de bug voor zich om de informatie hierover door te verkopen.
07-03-2013, 10:32 door Anoniem
Door Anoniem:
Niet om weer een OS flame te ontketenen maar er lijkt een relatie met het gebruikte OS te zijn. Klopt het dat OS-X en de Linux versies van deze browsers (m.u.v. IE natuurlijk) niet gehackt zijn of zijn die niet getest?


Het maakt vaak niet uit omdat de zelfde lek ook te misbruiken is onder een andere OS alleen zijn de methoden om het te exploiten een beetje anders...
07-03-2013, 11:22 door grrr
Door Anoniem: Zal het bedrjf VUPEN dit keer de informatie wel delen zodat er gepatcht kan worden door de leverancier ?
Ze houden vaak de bug voor zich om de informatie hierover door te verkopen.

Verkopen denk ik dan :(
08-03-2013, 07:37 door Anoniem
Door Redactie: Tijdens een populaire hackerwedstrijd zijn onderzoekers erin geslaagd de meest recente versies van Google Chrome, Mozilla Firefox, Internet Explorer 10 en Java te hacken.

Firefox 19.02 ? Zie: http://releases.mozilla.org/pub/mozilla.org/firefox/releases/19.0.2/win32/nl/
Of slaagde Mozilla als razende Roeland in het dichten van het gat naar aanleiding van de wedstrijduitslag?
[admin] Dat laatste, zie ook https://www.security.nl/artikel/45460/1/Mozilla_en_Google_dichten_Pwn2Own-lek_binnen_24_uur.html [/admin]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.