IE11, Firefox, Safari, Flash Player en Adobe Reader gehackt
Verschillende onderzoekers en hackers zijn tijdens de Pwn2Own-wedstrijd in Vancouver erin geslaagd om de meest recente versies van Internet Explorer 11, Mozilla Firefox, Adobe Flash Player en Adobe Reader op Windows 8.1 en Apple Safari op Mac OS X Mavericks te hacken.
Via de gedemonstreerde kwetsbaarheden wisten de onderzoekers het onderliggende systeem over te nemen. Pwn2Own is een jaarlijks evenement waarbij onderzoekers en hackers worden uitgedaagd om de veiligheid van browsers en browserplug-ins te testen. Het Franse beveiligingsbedrijf VUPEN wist gisteren vier keer toe te slaan, door het hacken van Internet Explorer 11, Adobe Reader, Adobe Flash Player en Firefox.
Mozilla Firefox werd ook door onderzoekers Mariusz Mlynski en Jüri Aedla gehackt. In alle gevallen is het uitvoeren van willekeurige code mogelijk. Alleen Google Chrome wist het hackgeweld op de eerste dag van de wedstrijd te doorstaan.
Pwn4Fun
Hoewel Apple Safari niet tijdens Pwn2Own sneuvelde, moest de browser er wel aan geloven tijdens Pwn4Fun. Een nieuw onderdeel dat tijdens Pwn2Own werd georganiseerd. Pwn2Own wordt gesponsord door het Zero Day Initiative (ZDI) van HP. Dit jaar besloten Google en HP elkaar uit te dagen tijdens Pwn4Fun, waarbij de twee teams van de IT-bedrijven onbekende lekken in browsers proberen te vinden.
De onderzoekers van HP slaagden erin om Internet Explorer te hacken, terwijl Google Safari op Mac OS X op de knieën wist te krijgen, waardoor er nu in drie van de vier grote browsers kwetsbaarheden bekend zijn waarvoor nog geen update beschikbaar is.
Voor het hacken van Internet Explorer 11 op Windows 8.1 werd 100.000 dollar betaald, terwijl de onderzoekers die Firefox kraakten elk 50.000 dollar kregen. De hacks van Adobe Reader en Adobe Flash Player leverden elk 75.000 dollar op. De Safari-hack van Google werd met 32.500 dollar beloond, dat aan het Canadese Rode Kruis werd gedoneerd. Ook de 50.000 dollar die het HP-team voor de IE-hack kreeg ging naar dit goede doel.
Vandaag gaat Pwn2Own verder. In totaal kreeg de organisatie 15 inzendingen van onderzoekers die een browser of browserplug-in wilden hacken. Zodra de leveranciers in kwestie de beveiligingslekken hebben gepatcht worden de details pas vrijgegeven.
Beetje goedkoop.
Beetje goedkoop.
Maar ik neem aan dat er wel meer te achterhalen valt dan alleen "het is gehacked" lijkt me? Dat er geen exploitcode wordt gepresenteerd kan ik mee inkomen, maar hier kunnen we echt niets mee.
Klein beetje geGoogled, hier zijn de vulns voor Chrome: http://threatpost.com/google-fixes-four-high-risk-flaws-in-chrome-before-pwn2own/104749
Bij Chrome zijn dus 4 vulnerabilities gevonden.
Als je al een richting aangeeft, dan hebben ook de kwaadaardige hackers een idee in welke richting ze moeten zoeken voor een lek. Dus is het inderdaad beter om zo weinig mogelijk info te geven totdat de lekken opgelost zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Technisch Security Specialist
De IT in de zorg professionaliseert. De beweging naar de Cloud brengt nieuwe mogelijkheden met zich mee maar ook de noodzaak om op security gebied stappen te zetten. Wil je die stap met ons zetten en werken in een dynamische, moderne IT omgeving? Solliciteer dan op deze veelzijdige functie!
Engineer IT-operations
Nationaal Cyber Security Centrum
Als engineer IT-operations werk je in DevOps-verband samen met de solution-engineers van het NCSC. Die zijn verantwoordelijk voor de implementatie, doorontwikkeling en het applicatief beheer van onze businessapplicaties. Jij vult de Ops-taken in. Jouw grootste uitdaging? Bestaande regels vertalen naar technische oplossingen.
(Senior) Solutions-engineer
Nationaal Cyber Security Centrum
Als (senior) technisch applicatie beheerder/developer ben je verantwoordelijk voor de implementatie, doorontwikkeling en het beheer van een aantal business applicaties en technische voorzieningen van het NCSC. Het gaat hierbij om applicaties en voorzieningen op het gebied van incident- en vulnerability management en malware analyse.