image

IE11, Firefox, Safari, Flash Player en Adobe Reader gehackt

donderdag 13 maart 2014, 09:51 door Redactie, 8 reacties
Laatst bijgewerkt: 13-03-2014, 10:46

Verschillende onderzoekers en hackers zijn tijdens de Pwn2Own-wedstrijd in Vancouver erin geslaagd om de meest recente versies van Internet Explorer 11, Mozilla Firefox, Adobe Flash Player en Adobe Reader op Windows 8.1 en Apple Safari op Mac OS X Mavericks te hacken.

Via de gedemonstreerde kwetsbaarheden wisten de onderzoekers het onderliggende systeem over te nemen. Pwn2Own is een jaarlijks evenement waarbij onderzoekers en hackers worden uitgedaagd om de veiligheid van browsers en browserplug-ins te testen. Het Franse beveiligingsbedrijf VUPEN wist gisteren vier keer toe te slaan, door het hacken van Internet Explorer 11, Adobe Reader, Adobe Flash Player en Firefox.

Mozilla Firefox werd ook door onderzoekers Mariusz Mlynski en Jüri Aedla gehackt. In alle gevallen is het uitvoeren van willekeurige code mogelijk. Alleen Google Chrome wist het hackgeweld op de eerste dag van de wedstrijd te doorstaan.

Pwn4Fun

Hoewel Apple Safari niet tijdens Pwn2Own sneuvelde, moest de browser er wel aan geloven tijdens Pwn4Fun. Een nieuw onderdeel dat tijdens Pwn2Own werd georganiseerd. Pwn2Own wordt gesponsord door het Zero Day Initiative (ZDI) van HP. Dit jaar besloten Google en HP elkaar uit te dagen tijdens Pwn4Fun, waarbij de twee teams van de IT-bedrijven onbekende lekken in browsers proberen te vinden.

De onderzoekers van HP slaagden erin om Internet Explorer te hacken, terwijl Google Safari op Mac OS X op de knieën wist te krijgen, waardoor er nu in drie van de vier grote browsers kwetsbaarheden bekend zijn waarvoor nog geen update beschikbaar is.

Voor het hacken van Internet Explorer 11 op Windows 8.1 werd 100.000 dollar betaald, terwijl de onderzoekers die Firefox kraakten elk 50.000 dollar kregen. De hacks van Adobe Reader en Adobe Flash Player leverden elk 75.000 dollar op. De Safari-hack van Google werd met 32.500 dollar beloond, dat aan het Canadese Rode Kruis werd gedoneerd. Ook de 50.000 dollar die het HP-team voor de IE-hack kreeg ging naar dit goede doel.

Vandaag gaat Pwn2Own verder. In totaal kreeg de organisatie 15 inzendingen van onderzoekers die een browser of browserplug-in wilden hacken. Zodra de leveranciers in kwestie de beveiligingslekken hebben gepatcht worden de details pas vrijgegeven.

Reacties (8)
13-03-2014, 09:55 door schele
van security.nl verwacht ik iets meer dan "de browser is gehackt". Wat betekent dat, is er een kwetsbaarheidje rond cookies, zijn er MiTM kwetsbaarhden, worden SSL certs niet goed gevalideerd?

Beetje goedkoop.
13-03-2014, 10:16 door Anoniem
Door schele: van security.nl verwacht ik iets meer dan "de browser is gehackt". Wat betekent dat, is er een kwetsbaarheidje rond cookies, zijn er MiTM kwetsbaarhden, worden SSL certs niet goed gevalideerd?

Beetje goedkoop.
Pwn2Own is volgens mij altijd remote code execution.
13-03-2014, 10:17 door Mysterio
Door schele: van security.nl verwacht ik iets meer dan "de browser is gehackt". Wat betekent dat, is er een kwetsbaarheidje rond cookies, zijn er MiTM kwetsbaarhden, worden SSL certs niet goed gevalideerd?
De uitwerking/toelichting op de kwetsbaarheden is uiteraard nog niet vrijgegeven. De kwetsbaarheden moeten volgens de regels eerst volledig worden opgeleverd aan de deelnemende bedrijven zodat ze er actie op kunnen ondernemen.
13-03-2014, 10:17 door Mend0x - Bijgewerkt: 13-03-2014, 10:36
Inderdaad. Dit is wel heel summier.

Door Mysterio:
Door schele: van security.nl verwacht ik iets meer dan "de browser is gehackt". Wat betekent dat, is er een kwetsbaarheidje rond cookies, zijn er MiTM kwetsbaarhden, worden SSL certs niet goed gevalideerd?
De uitwerking/toelichting op de kwetsbaarheden is uiteraard nog niet vrijgegeven. De kwetsbaarheden moeten volgens de regels eerst volledig worden opgeleverd aan de deelnemende bedrijven zodat ze er actie op kunnen ondernemen.

Maar ik neem aan dat er wel meer te achterhalen valt dan alleen "het is gehacked" lijkt me? Dat er geen exploitcode wordt gepresenteerd kan ik mee inkomen, maar hier kunnen we echt niets mee.

Klein beetje geGoogled, hier zijn de vulns voor Chrome: http://threatpost.com/google-fixes-four-high-risk-flaws-in-chrome-before-pwn2own/104749

Bij Chrome zijn dus 4 vulnerabilities gevonden.
13-03-2014, 10:49 door Redactie
@ Schele, het gaat zoals eerder aangegeven om Remote Code Execution, dit is aan de tekst toegevoegd.
13-03-2014, 11:20 door Briolet
Door Mend0x:Maar ik neem aan dat er wel meer te achterhalen valt dan alleen "het is gehacked" lijkt me?

Als je al een richting aangeeft, dan hebben ook de kwaadaardige hackers een idee in welke richting ze moeten zoeken voor een lek. Dus is het inderdaad beter om zo weinig mogelijk info te geven totdat de lekken opgelost zijn.
14-03-2014, 00:31 door [Account Verwijderd]
[Verwijderd]
14-03-2014, 09:13 door Mysterio
Door Ubuntu: IE zakt altijd eerste, dat is duidelijk,
Volgens mij lees ik dat Firefox en Safari ook zijn onderuitgehaald. Vanwaar jouw focus op IE?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.