Hackers vinden lekken in Firefox, Chrome, IE10 en Java
Tijdens een populaire hackerwedstrijd zijn onderzoekers erin geslaagd de meest recente versies van Google Chrome, Mozilla Firefox, Internet Explorer 10 en Java te hacken. Gisterenavond laat begon in het Canadese Toronto Pwn2Own waar hackers en onderzoekers 560.000 dollar kunnen winnen door ernstige beveiligingslekken te vinden in populaire browsers en plug-ins.
Als eerste sneuvelde Java, dat uiteindelijk drie keer werd gehackt. Een uur later was het de beurt aan Internet Explorer 10 op Windows 8, dat door het Franse beveiligingsbedrijf VUPEN werd gehackt zonder dat de browser crashte. Hackers Nils en John van MWR Labs slaagden erin om Google Chrome op Windows 7 te kraken. In het geval van IE10 en Chrome werd in beide gevallen uit de sandboxbeveiliging ontsnapt.
VUPEN lukte het na IE10 op een MS Surface Pro tablet met Windows 8 én Java ook om Firefox te kraken. Hiervoor gebruikte het een nieuwe techniek om de ASLR- en DEP-beveiliging van Windows 7 te omzeilen. DEP en ASLR zijn juist bedoeld om misbruik van softwarelekken en het uitvoeren van kwaadaardige code te voorkomen.
Prijzengeld
Voor de kwetsbaarheden in Google Chrome en IE10 krijgen de onderzoekers elk 100.000 euro. Het Firefox-lek leverde 60.000 dollar op, omdat Firefox als minder goed beveiligd werd ingeschat wegens het ontbreken van een sandbox. Het al door vele lekken geplaagde Java leverde de twee onderzoekers en VUPEN elk 20.000 dollar op.
Details over de kwetsbaarheden worden pas bekendgemaakt als ze door de betreffende leverancier zijn gepatcht. Pwn2Own wordt georganiseerd door beveiligingsbedrijf TippingPoint, dat de gevonden lekken gebruikt om de eigen klanten te beschermen. Wel deelt het informatie over de lekken met de leverancier in kwestie.
Je trapt wel een hele grote en wankele open deur in; natuurlijk is het onderliggende OS van invloed op het resultaat.
De categorieën van dit jaar waren:
Chrome op Windows 7
IE 10 op Windows 8
IE 9 op Windows 7
Firefox op Windows 7
Safari op OS X Mountain Lion
Plug-ins voor Internet Explorer 9 op Windows 7 (Adobe Reader XI, Adobe Flash, Oracle Java).
Ze houden vaak de bug voor zich om de informatie hierover door te verkopen.
Niet om weer een OS flame te ontketenen maar er lijkt een relatie met het gebruikte OS te zijn. Klopt het dat OS-X en de Linux versies van deze browsers (m.u.v. IE natuurlijk) niet gehackt zijn of zijn die niet getest?
Het maakt vaak niet uit omdat de zelfde lek ook te misbruiken is onder een andere OS alleen zijn de methoden om het te exploiten een beetje anders...
Ze houden vaak de bug voor zich om de informatie hierover door te verkopen.
Verkopen denk ik dan :(
Firefox 19.02 ? Zie: http://releases.mozilla.org/pub/mozilla.org/firefox/releases/19.0.2/win32/nl/
Of slaagde Mozilla als razende Roeland in het dichten van het gat naar aanleiding van de wedstrijduitslag?
[admin] Dat laatste, zie ook https://www.security.nl/artikel/45460/1/Mozilla_en_Google_dichten_Pwn2Own-lek_binnen_24_uur.html [/admin]
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.