2min

Op de derde dag van de hackersconferentie Pwn2Own in Vancouver zijn de nodige producten voor de bijl gegaan. Verschillende teams slaagden erin om bekende applicaties als Microsoft Edge, Flash, macOS, Safari en Ubuntu te hacken. Een Chinee hackersteam van de firma Qihoo 360 slaagde er zelfs in uit een VMware virtual machine te breken door Microsoft Edge te misbruiken. Hiervoor ontvingen zijn 105.000 dollar.

Pwn2Own is een hackersconferentie die jaarlijks wordt georganiseerd en daarbij krijgen hackers de kans om populaire applicaties te hacken en de beveiligingen te omzeilen. Voor de hacks die worden aangeleverd aan de fabrikanten worden grote geldprijzen uitgeloofd, dit om ervoor te zorgen dat deze niet worden verkocht aan kwaadwillenden en natuurlijk om de producten veiliger te maken.

Het Chinese team van Qihoo 360 wist Microsoft Edge te combineren met twee andere beveiligingslekken om volledig uit een VMWare virtual machine te breken en op het host besturingssysteem te komen. Ook een team van Tencent Security wist 100.000 dollar op te halen door uit VMware Workstation te breken. Zij gebruikte een Windows-kernel bug gecombineerd met een Workstation infolek en een ongeladen buffer in Workstation om van het gast besturingssysteem op het host besturingssysteem te komen.

In eerdere dagen waren populaire applicaties als Flash, Windows Kernel, Microsoft Edge, macOS Kernel, Safari en Ubuntu al ten prooi gevallen aan de hackers. Een team van Chaitin Security Research Lab demonstreerde een Linux kernel heap out-of-bounds probleem (geheugenprobleem) om Ubuntu te hacken, verder werden er zes exploits aan elkaar geknoopt om Safari te hacken en root access te verkrijgen op macOS.

 

Microsoft is de laatste browserontwikkelaar die met de volgende Windows 10 Update de dynamische Flash-content zal gaan blokkeren. Flash staat bekend om zijn beveiligingslekken en is met de komst van HTML5 steeds overbodiger geworden. Veel browserontwikkelaars hebben Flash al grotendeels de nek omgedraaid, vanaf deze maand zal ook Microsoft dat gaan doen.