IE11, Firefox, Safari, Flash Player en Adobe Reader gehackt
Verschillende onderzoekers en hackers zijn tijdens de Pwn2Own-wedstrijd in Vancouver erin geslaagd om de meest recente versies van Internet Explorer 11, Mozilla Firefox, Adobe Flash Player en Adobe Reader op Windows 8.1 en Apple Safari op Mac OS X Mavericks te hacken.
Via de gedemonstreerde kwetsbaarheden wisten de onderzoekers het onderliggende systeem over te nemen. Pwn2Own is een jaarlijks evenement waarbij onderzoekers en hackers worden uitgedaagd om de veiligheid van browsers en browserplug-ins te testen. Het Franse beveiligingsbedrijf VUPEN wist gisteren vier keer toe te slaan, door het hacken van Internet Explorer 11, Adobe Reader, Adobe Flash Player en Firefox.
Mozilla Firefox werd ook door onderzoekers Mariusz Mlynski en Jüri Aedla gehackt. In alle gevallen is het uitvoeren van willekeurige code mogelijk. Alleen Google Chrome wist het hackgeweld op de eerste dag van de wedstrijd te doorstaan.
Pwn4Fun
Hoewel Apple Safari niet tijdens Pwn2Own sneuvelde, moest de browser er wel aan geloven tijdens Pwn4Fun. Een nieuw onderdeel dat tijdens Pwn2Own werd georganiseerd. Pwn2Own wordt gesponsord door het Zero Day Initiative (ZDI) van HP. Dit jaar besloten Google en HP elkaar uit te dagen tijdens Pwn4Fun, waarbij de twee teams van de IT-bedrijven onbekende lekken in browsers proberen te vinden.
De onderzoekers van HP slaagden erin om Internet Explorer te hacken, terwijl Google Safari op Mac OS X op de knieën wist te krijgen, waardoor er nu in drie van de vier grote browsers kwetsbaarheden bekend zijn waarvoor nog geen update beschikbaar is.
Voor het hacken van Internet Explorer 11 op Windows 8.1 werd 100.000 dollar betaald, terwijl de onderzoekers die Firefox kraakten elk 50.000 dollar kregen. De hacks van Adobe Reader en Adobe Flash Player leverden elk 75.000 dollar op. De Safari-hack van Google werd met 32.500 dollar beloond, dat aan het Canadese Rode Kruis werd gedoneerd. Ook de 50.000 dollar die het HP-team voor de IE-hack kreeg ging naar dit goede doel.
Vandaag gaat Pwn2Own verder. In totaal kreeg de organisatie 15 inzendingen van onderzoekers die een browser of browserplug-in wilden hacken. Zodra de leveranciers in kwestie de beveiligingslekken hebben gepatcht worden de details pas vrijgegeven.
Beetje goedkoop.
Beetje goedkoop.
Maar ik neem aan dat er wel meer te achterhalen valt dan alleen "het is gehacked" lijkt me? Dat er geen exploitcode wordt gepresenteerd kan ik mee inkomen, maar hier kunnen we echt niets mee.
Klein beetje geGoogled, hier zijn de vulns voor Chrome: http://threatpost.com/google-fixes-four-high-risk-flaws-in-chrome-before-pwn2own/104749
Bij Chrome zijn dus 4 vulnerabilities gevonden.
Als je al een richting aangeeft, dan hebben ook de kwaadaardige hackers een idee in welke richting ze moeten zoeken voor een lek. Dus is het inderdaad beter om zo weinig mogelijk info te geven totdat de lekken opgelost zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Triage Officer
bij het NCSC
Voor de komende jaren staat er het nodige te veranderen voor het NCSC. Het NCSC kent een uitdagende groei- en ontwikkelambitie. Dit biedt volop kansen en mogelijkheden. De doorontwikkeling van onze waakdienst is daarvan een erg belangrijke! Hiervoor zoeken wij meerdere Triage Officers, die de ogen en oren van cybersecurity Nederland worden. Welkom bij #TeamNCSC!
Technical Security Trainer
Is security je passie? Dan ben je bij ons aan het juiste adres. Wij zijn 24/7, 365 dagen per jaar bezig met security. Je werkt in een team van internationaal bekende security-experts, het delen van kennis staat centraal. We zijn een organisatie met een informele bedrijfscultuur. Security is serious fun! Als technical security trainer geef je hands-on security trainingen op basis van de Certified Secure challenges en certificeringen.