image

Onderzoekers tonen zerodaylekken in Chrome, Safari en Edge

zondag 17 november 2019, 13:40 door Redactie, 9 reacties

Onderzoekers hebben tijdens de Tianfu Cup in het Chinese Chengdu zerodaylekken in Google Chrome, Apple Safari, Microsoft Edge, Adobe Reader en Microsoft Office 365 ProPlus gedemonstreerd waardoor een aanvaller volledige controle over het onderliggende systeem kan krijgen.

De Tianfu Cup is de Chinese tegenhanger van Pwn2Own, een andere wedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden. Gisteren was de eerste dag van het evenement, vandaag vindt dag twee plaats. In totaal is er een prijzengeld van 1 miljoen dollar beschikbaar voor het demonstreren van onbekende kwetsbaarheden.

De wedstrijd begon met verschillende aanvallen tegen Edge, gevolgd door Chrome en Safari. Alle drie de browsers sneuvelden. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website met een volledig gepatchte versie van Chrome, Edge of Safari is voldoende om een aanvaller toegang tot het systeem te geven. Er is geen verdere interactie van gebruikers vereist en er zijn nog geen beveiligingsupdates voor de kwetsbaarheden beschikbaar gemaakt. Mozilla Firefox maakte geen deel uit van de wedstrijd.

Drie verschillende onderzoeksteams wisten Microsoft Edge te compromitteren. Team "ddd", dat eerder Edge compromitteerde, demonstreerde ook een succesvolle zerodayaanval tegen Google Chrome. Ook een ander team kreeg Googles browser op de knieën. Vier teams probeerden vervolgens een aanval tegen Apple Safari te laten zien, maar drie daarvan gaven op. Team "StackLeader" slaagde er wel in om Apples browser succesvol aan te vallen.

Bij de demonstratie van een zerodayaanval tegen Adobe Reader was StackLeader wederom succesvol, alsmede een ander team. Uiteindelijk moest ook Microsoft Office 365 ProPlus eraan geloven. Via een kwaadaardig rtf-document blijkt het mogelijk om willekeurige code uit te voeren en de ProtectionView-maatregel van de software deels te omzeilen. Verder toonden drie verschillende teams zerodaylekken in de D-Link DIR-878. Alle betrokken leveranciers en partijen zijn over de beveiligingslekken geïnformeerd. Wanneer er beveiligingsupdates zullen verschijnen is nog niet bekend.

Image

Reacties (9)
17-11-2019, 19:20 door [Account Verwijderd]
Onderzoekers hebben tijdens de Tianfu Cup in het Chinese Chengdu zerodaylekken in Google Chrome, Apple Safari, Microsoft Edge, Adobe Reader en Microsoft Office 365 ProPlus gedemonstreerd waardoor een aanvaller volledige controle over het onderliggende systeem kan krijgen.

En ze gingen allemaal voor de bijl...
17-11-2019, 20:00 door Anoniem
Wordt het hele Internet inmiddels niet een groot ZERODAY???
17-11-2019, 20:56 door Anoniem
Waterfox + uMatrix. Opgelost.
17-11-2019, 21:25 door Anoniem
Hoe kunnen er nou zero day lekken zitten in producten die als nieuw, getest en fantastisch verkocht zijn? Als het nou een keertje gebeurde, dan kon je het nog door de vingers zien.

Als ik een badkuip had gekocht waar niet enkel een zero day lek in zat, maar elke week een nieuwe, dan had ik al lang mijn geld terug gehad.

Want waar koop je anders een badkuip voor, nietwaar? Je durft dan toch niet eens meer over een eigen zwembad te dromen, of niettan?
17-11-2019, 22:49 door SECRET_PRINCEss - Bijgewerkt: 17-11-2019, 23:10
Amai, elk multinationaal heeft er van langs gekregen.

Toont enkel aan dat men meer online moet oppassen, want niets is 100 % veilig op het web. Hoe hard je ook jouw browser, website, applicatie, database... beveiligt, er is altijd minstens één iemand die een kwetsbaarheid kan vinden.
17-11-2019, 23:27 door Anoniem
Hoe zou je dan op een gegeven moment moeten oppassen?
Zoals dat artikel over VISA op deze site?
Ja op een gegeven moment moet je maar bidden en hopen dat het goed(blijft) gaan.
Het is een groot "zeroday" het Internet
18-11-2019, 18:58 door Anoniem
Wie in godsnaam gebruikt nu nog Google Chrome ?
Kan je evengoed malware op je computer installeren
it is the same thing
19-11-2019, 09:57 door Anoniem
Door Anoniem: Wordt het hele Internet inmiddels niet een groot ZERODAY???

Ja, want op het internet kunnen tandartsen gewoon hersenchirurgie beoefenen.
19-11-2019, 18:21 door Anoniem
Door Anoniem: Hoe kunnen er nou zero day lekken zitten in producten die als nieuw, getest en fantastisch verkocht zijn? Als het nou een keertje gebeurde, dan kon je het nog door de vingers zien.

Als ik een badkuip had gekocht waar niet enkel een zero day lek in zat, maar elke week een nieuwe, dan had ik al lang mijn geld terug gehad.

Want waar koop je anders een badkuip voor, nietwaar? Je durft dan toch niet eens meer over een eigen zwembad te dromen, of niettan?

Om dezelfde vergelijking te gebruiken, bij dergelijke hackdagen gaan mensen uit alle macht proberen de badkuip stuk te maken. Met de moker, drilboor, sloopkogel, snijbrander, chemicaliën, etc. Dan is het niet gek dat er af en toe weer iemand op duikt die creatief genoeg is om een onverwoestbare badkuip lek te maken. Het zijn gewoon prima producten. We moeten niet in de waan leven dat er onhackbare software bestaat. Het is daarom goed dat er zulke dagen georganiseerd worden en dat er financiële beloning bestaat voor de mensen die hier hun tijd aan besteden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.