Tijdens de Pwn2Own-wedstrijd in het Canadese Vancouver hebben onderzoekers meerdere zero day-lekken in Adobe Flash Player, Adobe Reader, Windows, Internet Explorer en Firefox gedemonstreerd. De Pwn2Own-wedstrijd is een jaarlijks terugkerend evenement dat tijdens de CanSecWest-conferentie wordt georganiseerd en waar onderzoekers de veiligheid van populaire browsers en browserplug-ins kunnen testen.
In totaal werden er op de eerste dag van het evenement drie lekken in Adobe Reader, drie lekken in Adobe Flash Player, drie lekken in Windows, twee lekken in Internet Explorer 11 en twee lekken in Firefox getoond. Via de kwetsbaarheden kan een aanvaller volledige controle over de computer krijgen, zonder dat hier al teveel interactie van de gebruiker voor is vereist. Het gaat dan om het bezoeken van een gehackte of kwaadaardige website of het openen van een kwaadaardig PDF-bestand.
Voor geen van de gedemonstreerde kwetsbaarheden is een beveiligingsupdate beschikbaar, waardoor er sprake van zero day-lekken is. De regels van Pwn2Own stellen echter dat details alleen met de organisatie mogen worden gedeeld. Die zal vervolgens de betreffende leveranciers inlichten. Pas nadat er een beveiligingsupdate beschikbaar is mogen onderzoekers details over de kwetsbaarheden publiceren.
In totaal kregen de onderzoekers voor hun lekken 317.500 dollar, waarbij onderzoeker Nicolas Joly 90.000 dollar wist binnen te slepen. Het KeenTeam, bestaande uit verschillende onderzoekers, wist echter met lekken in Adobe Flash Player en Adobe Reader, alsmede bugs om de rechten op Windows te verhogen, in totaal 140.000 dollar te verdienen. Later vandaag zullen verschillende onderzoekers proberen om opnieuw Firefox en IE te hacken, maar ook staan er nu aanvallen op Google Chrome en Apple Safari gepland.
Deze posting is gelocked. Reageren is niet meer mogelijk.