image

Flash Player update kost hacker 40.000 dollar

dinsdag 9 oktober 2012, 10:11 door Redactie, 10 reacties

Een beveiligingsonderzoeker die morgen dacht 40.000 dollar te verdienen door middel van een onbekend beveiligingslek in Adobe Flash Player zag zijn droom in rook opgaan nadat Adobe een beveiligingsupdate voor Flash Player uitbracht. Daarmee werd de zero-day kwetsbaarheid die Nikita Tarakanov had ontdekt opgelost, waardoor hij morgen niet aan de Pwnium-wedstrijd van Google mee kan doen. De zoekgigant heeft in totaal 2 miljoen dollar prijzengeld uitgeloofd voor hackers en beveiligingsonderzoekers die Google Chrome weten te kraken.

Exploit
Net als bij de vorige editie van Pwnium betaalt Google voor een volledige Chrome-exploit, waarmee een aanvaller het onderliggende Windows 7 kan overnemen, 60.000 dollar. Voor een gedeeltelijke Chrome-exploit, waarbij een Chrome-lek wordt gecombineerd met andere bugs, bijvoorbeeld een Windows kernel-lek, wordt 50.000 dollar neergelegd.

Een kwetsbaarheid in de ingebouwde Flash Player, driver of Windows, is goed voor 40.000 dollar. En zo'n kwetsbaarheid had Tarakanov ontdekt, maar ook de onderzoekers van Google. Die vonden in totaal 24 lekken in Adobe Flash Player, waarvoor gisterenavond een update verscheen.

Zero-day
Als genoegdoening heeft de onderzoeker nu een zero-day kwetsbaarheid in een driver van Wireless Broadcom onthuld. Tarakanov merkt echter zelf op dat de aanval niet op 64-bit platformen werkt en lastig op 32-bit platformen is te misbruiken.

Reacties (10)
09-10-2012, 10:21 door _R0N_
Tja waarom denk je dat ze de update een dag voor het event uitbrengen.. Ze proberen zichzelf de afgang te besparen. Leuk wordt het natuurlijk als ze morgen met een nieuw lek alsnog via de flashplayer chrome en windows overnemen..
09-10-2012, 10:22 door Anoniem
Google zal zelf vandaag ook nog wel met een update voor Chrome komen. Komen ze weer goed uit de bus.
09-10-2012, 10:35 door Anoniem
ga die hackers ook nog ff belonen zeg.
09-10-2012, 12:54 door Anoniem
Anoniem @10:35 heeft natuurlijk liever dat er geen beloning is voor lekken en dat de lekken dus unreported blijven zodat ze misbruikt kunnen worden?
09-10-2012, 13:18 door Anoniem
Het kost de hacker niks. Hij verliest alleen de kans voor die 40.000 euro,....
09-10-2012, 15:40 door ernie
@13:18 Beetje Telegraaf-stijl titel inderdaad.

@10:35 Heb jij liever dat deze jongens (zoals Nikita) hun gevonden vulnerabilities voor zichzelf houden of verkopen aan criminelen en gebruiken om bankrekeningen mee te plunderen? Think again..
09-10-2012, 19:22 door Anoniem
Door Anoniem: ga die hackers ook nog ff belonen zeg.
God ,jij vat er ook geen zak van he ?
09-10-2012, 20:25 door Anoniem
@ernie

Dan nog verliest hij geen 40.000 euro....
10-10-2012, 14:29 door ernie
@20:25 Waar zie jij me dat beweren? :)
10-10-2012, 15:15 door RickDeckardt
VUPEN doet goede zaken door 0-days te verkopen/licenseren aan dubieuze organisaties (overheden en non-overheden).

Wat Google doet is beveiligingstechnisch de slimste stap. Exploits (zeker 0-day) zijn (heel veel) geld waard en een boel beveiligingsonderzoekers weten donders goed.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.