Gisteren werd er reeds melding gemaakt van de eerst hack voor Google Chrome’s sandbox-omgeving. Vandaag moeten we meedelen dat ook Internet Explorer 9 geveld werd tijdens het Pwn2Own-evenement dat gedurende de CanSecWest-conferentie in Vancouver wordt georganiseerd.

De meest recente versie van Internet Explorer 9 bleek in combinatie met Windows 7 niet opgewassen te zijn tegen de hackers die het Pwn2Own-evenement aandeden en is daarmee de tweede browser die zwicht gedurende de wedstrijd. De hackers maakten gebruik van verschillende kwetsbaarheden in de beveiliging van de browser.

Opvallend genoeg was het opnieuw het Franse hackersteam afkomstig van het bedrijf Vupen dat verantwoordelijk was voor de hack. Chaouki Bekrar, CEO van het bedrijf, gaf dinsdag aan dat ze kwetsbaarheden kennen in Chrome, Internet Explorer, Safari en Firefox waarmee ze al deze browsers kunnen hacken. Vooralsnog lijkt Vupen deze uitspraak waar te kunnen maken.

Internet Explorer werd gehackt door middel van een overflow in het geheugenbeheer van de browser. Hierdoor konden de DEP en ASLR voorbij worden gestoken zodat er low-level code kon worden uitgevoerd. Middels een andere aanval werd ook een corruptie in het geheugen uitgebuit waarop het mogelijk werd om buiten de sandbox te komen en dan is zo goed als alles mogelijk.