Tijdens de jaarlijkse Pwn2Own-wedstrijd in Vancouver hebben beveiligingsonderzoekers verschillende zero-days in Apple Safari, VMware Workstation en Oracle VirtualBox gedemonstreerd waarmee het onderliggende besturingssysteem kan worden overgenomen.
Pwn2Own is een jaarlijks terugkerend evenement van het Zero Day Initiative dat onderzoekers betaalt voor het demonstreren van onbekende kwetsbaarheden in browsers, virtualisatiesoftware en kantoorsoftware. Tijdens deze editie krijgen onderzoekers voor het eerst de gelegenheid om een auto te hacken. Voor het hacken van een Tesla Model 3 zijn er beloningen van tussen de 35.000 en 300.000 dollar, afhankelijk van verschillende factoren, waaronder de gebruikte exploit. De eerste onderzoeker die de Tesla succesvol weet te hacken krijgt ook een nieuwe Model 3 als beloning.
Op de eerste dag hadden onderzoekers het alleen voorzien op Apple Safari en de virtualisatiesoftware van Oracle en VMware. Onderzoekers wisten Safari twee keer succesvol te hacken. Vervolgens werden er twee succesvolle aanvallen tegen Oracle VirtualBox gedemonstreerd en moest VMware Workstation er één keer aan geloven. Via de kwetsbaarheden in de virtualisatiesoftware konden de onderzoekers uit het gevirtualiseerde systeem breken en het onderliggen besturingssysteem overnemen. In totaal ontvingen de onderzoekers 240.000 dollar voor hun kwetsbaarheden.
De beveiligingslekken worden nu met de betreffende softwareleveranciers gedeeld, zodat die een beveiligingsupdate kunnen ontwikkelen. Pas na het verschijnen van deze patches zullen de details worden geopenbaar. Voor de tweede dag staan er demonstraties tegen Microsoft Edge en Mozilla Firefox gepland. Op dag drie zullen twee onderzoeksteams proberen om een Tesla Model 3 te hacken.
Deze posting is gelocked. Reageren is niet meer mogelijk.