Pwn2Own: meerdere browsers gekraakt

De eerste dag van de Pwn2Own-competitie is achter de rug en staat genoteerd als een win voor de hackers. Alle grote browsers zijn gekraakt en Java zelfs meerdere keren. Mozilla en Google wisten de gaten binnen 24 uur te dichten.

Microsofts Internet Explorer 10, Google’s Chrome en Mozilla’s Firefox: niemand bleef overeind op de hackerscompetitie Pwn2Own. Vupen Security brak IE 10 en Google zag zijn vers bijgewerkte Chrome 25 ten onder gaan dankzij MWR Labs door verschillende ongepatchte zero-daykwetsbaarheden. Bij beide browsers lukte het om uit de sandboxbeveiliging te breken.

Vupen wist later ook Firefox uit te schakelen, dankzij een nieuwe techniek om de ASLR- en DEP-beveiliging van Windows 7 te omzeilen. Die beveiliging is ingesteld om misbruik van softwarelekken en toepassing van kwaadaardige code te voorkomen.

Java moest het meerdere malen ontzien, een bevestiging van de slechte naam die het platform al had. De software is gekraakt door Vupen, Accuvant Labs en Context Information Security.

Adobe Flash Player en Adobe Reader blijven in Windows 7 nog onaangetast, net als Safari op OS X Mountain Lion. Vupen zet vandaag in op Flash, en George Hotz gaat voor Adobe Reader, dus wat niet is kan nog komen.

Pwn2Own is een jaarlijks terugkerend evenement waar softwaremakers hackers uitdagen de kwetsbaarheden in hun software bloot te leggen. Veel bedrijven en individuen doen mee voor de uitdaging en roem. De prijzen zijn overigens ook niet voor de poes.

Kwetsbaarheden in Chrome en IE10 leveren per stuk 100.000 dollar op. Mozilla betaalt 60.000 dollar omdat de sandbox ontbrak en de lekken in Java kosten Oracle 20.000 dollar per stuk.