Onderzoekers hebben tijdens de Pwn2Own-wedstrijd in Vancouver laten zien hoe ze macOS en Windows 10 via onbekende kwetsbaarheden in respectievelijk Safari en Edge kunnen overnemen. Alleen het bezoeken van een kwaadaardige website is voldoende.
Pwn2Own is een jaarlijks terugkerende wedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in browsers en andere veelgebruikte programma's. Onderzoekers kunnen met succesvolle aanvallen allerlei geldprijzen winnen. Gedemonstreerde beveiligingslekken worden vervolgens aan de betreffende leverancier gemeld, zodat die een update kan ontwikkelen.
Onderzoeker Richard Zhu gebruikte twee kwetsbaarheden in Edge en een integer overflow in de Windows 10-kernel om zijn exploit met verhoogde rechten op het systeem uit te voeren. Hij werd hiervoor beloond met een bedrag van 70.000 dollar. Samuel GroB maakte voor zijn aanval ook gebruik van drie kwetsbaarheden, alleen dan in Safari en macOS. Hiervoor ontving hij 65.000 dollar.
Daarnaast werd er tijdens de eerste dag van Pwn2Own een gedeeltelijk succesvolle aanval op de virtualisatiesoftware Oracle VirtualBox gedemonstreerd, die onderzoeker Niklas Baumstark 27.000 dollar opleverde. In totaal is er voor deze editie van Pwn2Own 2 miljoen dollar aan prijzengeld beschikbaar. De wedstrijd wordt georganiseerd door het Zero Day Initiative, dat onderdeel van anti-virusbedrijf Trend Micro is. Wanneer de gevonden kwetsbaarheden door Apple, Microsoft en Oracle worden gepatcht is nog onbekend. Vandaag vindt de tweede dag van de wedstrijd plaats en zullen onderzoekers aanvallen op Firefox en Safari demonstreren.
Deze posting is gelocked. Reageren is niet meer mogelijk.