Alle grote browsers gehackt op tweede dag Pwn2Own

Abonneer je gratis op Techzine!

Op de tweede dag van de hackerscompetitie Pwn2Own zijn alle grote en bekende browsers gehackt. Er werden tegen alle browsers zero day-exploits ingezet, dat zijn lekken in de software die nog niet bekend waren. Chrome, Firefox, Internet Explorer, Safari en de Adobe Flash Player gingen allemaal onderuit, wat de organisatie op de tweede dag alleen al 450.000 dollar aan beloningen zal kosten.

Elk jaar wordt Pwn2Own georganiseerd met als doel te bekijken hoe veilig de browsers op dat moment zijn. Er worden flinke geldbedragen uitgekeerd wanneer de browsers daadwerkelijk gehackt worden. Voorwaarde is uiteraard wel dat de hacks worden gedeeld met de bedrijven die de browsers ontwikkelen, zodat ze de lekken kunnen dichten.

Op de eerste dag van de hackerscompetitie vielen Internet Explorer 11, Firefox, Flash Player en de Adobe Reader al ten prooi aan de hackers. Op de tweede dag moesten alle browsers en Adobe Flash Player het ontgelden.

Een Frans team van beveiligingsbedrijf Vupen hackte Google Chrome door misbruik te maken van een lek dat zowel in de renderengine WebKit als Blink aanwezig is. WebKit wordt gebruikt door Safari en Blink is daar een afgeleide van die wordt gebruikt door Chrome. Via de kwetsbaarheid was het mogelijk om uit de sandbox van Chrome te komen en code op de computer uit te voeren.

Twee andere onderzoekers, Sebastian Apelt en Andres Schmidt, wisten twee lekken in Internet Explorer en een lek in de Windows Kernel gezamenlijk te misbruiken om vervolgens code buiten de browser uit te voeren. Zij starten de Calculator-app op om aan te tonen dat het mogelijk was om code uit te voeren.

Uiteindelijk werd Mozilla Firefox zowel de eerste als de tweede dag gehackt. In totaal ging Firefox drie keer voor de bijl, waarmee deze browser het meeste gehackt werd tijdens Pwn2Own. Internet Explorer en Chrome werden beide twee keer gehackt. Safari werd uiteindelijk een keer gehackt.

In totaal heeft de organisatie 850.000 dollar aan prijzengeld moeten uitkeren voor alle hacks. Dat is exclusief het geld dat naar goede doelen is gegaan en de waarde van de laptops die de hackers konden winnen.