Google Chrome is op de eerste dag van de CanSecWest conferentie meerdere keren gehackt. Tijdens de conferentie wordt ook de bekende Pwn2Own hackerwedstrijd georganiseerd, waarbij onderzoekers de vier grote browsers moeten proberen te kraken. Daarbij zijn flinke geldprijzen te winnen. Google was het dit jaar niet eens met het wedstrijdreglement en besloot daarom een eigen competitie te starten met in totaal 1 miljoen dollar aan prijzengeld.
Zowel tijdens de reguliere als door Google opgezette competitie sneuvelde Chrome. Het Franse VUPEN zorgde ervoor dat Chrome als eerste werd gehackt via een exploit die zowel de beveiligingsmaatregelen DEP/ASLR als de Chrome sandbox omzeilen. Vanwege de regels hoeven de Fransen de exploit voor de sandbox niet te openbaren.
Pwnium
Dat is bij de door Google georganiseerde wedstrijd genaamd Pwnium wel een vereiste. Ook daar werd de browser geveld, door minder niemand dan Sergey Glazunov. De Russische onderzoeker is één van de voornaamste Chrome-hackers en wist het afgelopen jaar al tientallen lekken in de browser te vinden. Met zijn aanval verdiende de Rus 60.000 dollar. Glazunov gebruikte twee lekken om volledige controle over de browser te krijgen.
In tegenstelling tot Glazunov moeten de onderzoekers van VUPEN nog wachten op hun beloning. Pwn2Own hanteert dit jaar nieuwe regels, waarbij onderzoekers punten kunnen verdienen. Wie na het drie dagen durende evenement bovenaan staat, gaat er met 60.000 dollar vandoor. VUPEN heeft echter wel al een andere 'prijs' te pakken, het is namelijk voor het eerst dat Google Chrome sinds de Pwn2Own in 2009 begon wordt gehackt.
Browsers
De Fransen maken echter een goede kans op de hoofdprijs, want ze wisten op de eerste dag ook exploits voor Firefox, Internet Explorer en Safari te maken. het gaat hier niet om nieuwe lekken, maar om exploits voor oudere kwetsbaarheden. Het is de bedoeling om ter plekke een exploit te ontwikkelen, wat weer extra punten oplevert.
Voor een lek in Internet Explorer 8 hadden de VUPEN onderzoekers minder dan twintig minuten nodig. Met een exploit voor Firefox waren de Fransen een kleine twee uur bezig.
Deze posting is gelocked. Reageren is niet meer mogelijk.