Mozilla en Google hebben nog geen 24 uur na een succesvolle hack van Firefox en Chrome een nieuwe versie van beide browsers uitgebracht om gebruikers te beschermen. Het Franse beveiligingsbedrijf VUPEN wist tijdens de Pwn2Own hackerwedstrijd als enige Firefox 19 te hacken. Google Chrome sneuvelde door het werk van de hackers Nils en Jon van MWR Labs.
Voor de hack van Firefox werd er een geheel nieuwe techniek gebruikt om de Data Execution Prevention (DEP) en Address Space Layout Randomization (ASLR) beveiliging van Windows 7 te omzeilen. Aangezien Firefox niet over een sandbox beschikt kreeg VUPEN een lager bedrag voor de succesvolle hack dan voor het hacken van Google Chrome en Internet Explorer 10 werd uitgereikt.
De organisatie beloonde het Franse beveiligingsbedrijf, dat beveiligingslekken aan allerlei partijen verkoopt, met 60.000 dollar. De hackers van MWR Labs kregen daarentegen 100.000 dollar op hun rekening bijgeschreven.
Snelheid
"We ontvingen de technische details op woensdagavond en hadden binnen 24 uur het probleem vastgesteld, een patch gebouwd, de update en nieuwe versie gevalideerd en de patch onder onze gebruikers uitgerold", zegt Mozilla's Michael Coates. "Onze snelheid met het oplossen van dit probleem geeft aan hoe belangrijk we security vinden."
Ook Google publiceerde een nieuwe versie van Chrome, waarin het lek van Nils en Jon is opgelost. Opmerkelijk genoeg staat bij de impact dat het om een 'high' kwetsbaarheid gaat. Deze categorie van beveiligingslekken maakt het niet mogelijk om het onderliggende systeem over te nemen.
Dat is in het geval van Chrome alleen mogelijk bij 'critical' lekken. Toch zouden Nils en Jon via hun hack de computers met Windows 7 hebben gecompromitteerd. Details worden pas bekendgemaakt als voldoende gebruikers over de nieuwste versie beschikken.
Updaten naar de nieuwste Chrome- en Firefox-versies zou automatisch moeten gebeuren. De Pwn2Own wedstrijd was bedoeld om de veiligheid van browsers en populaire software zoals Flash, Java en Adobe Reader te testen.
Deze posting is gelocked. Reageren is niet meer mogelijk.