Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

IE11, Firefox, Safari, Flash Player en Adobe Reader gehackt

donderdag 13 maart 2014, 09:51 door Redactie, 8 reacties
Laatst bijgewerkt: 13-03-2014, 10:46

Verschillende onderzoekers en hackers zijn tijdens de Pwn2Own-wedstrijd in Vancouver erin geslaagd om de meest recente versies van Internet Explorer 11, Mozilla Firefox, Adobe Flash Player en Adobe Reader op Windows 8.1 en Apple Safari op Mac OS X Mavericks te hacken.

Via de gedemonstreerde kwetsbaarheden wisten de onderzoekers het onderliggende systeem over te nemen. Pwn2Own is een jaarlijks evenement waarbij onderzoekers en hackers worden uitgedaagd om de veiligheid van browsers en browserplug-ins te testen. Het Franse beveiligingsbedrijf VUPEN wist gisteren vier keer toe te slaan, door het hacken van Internet Explorer 11, Adobe Reader, Adobe Flash Player en Firefox.

Mozilla Firefox werd ook door onderzoekers Mariusz Mlynski en Jüri Aedla gehackt. In alle gevallen is het uitvoeren van willekeurige code mogelijk. Alleen Google Chrome wist het hackgeweld op de eerste dag van de wedstrijd te doorstaan.

Pwn4Fun

Hoewel Apple Safari niet tijdens Pwn2Own sneuvelde, moest de browser er wel aan geloven tijdens Pwn4Fun. Een nieuw onderdeel dat tijdens Pwn2Own werd georganiseerd. Pwn2Own wordt gesponsord door het Zero Day Initiative (ZDI) van HP. Dit jaar besloten Google en HP elkaar uit te dagen tijdens Pwn4Fun, waarbij de twee teams van de IT-bedrijven onbekende lekken in browsers proberen te vinden.

De onderzoekers van HP slaagden erin om Internet Explorer te hacken, terwijl Google Safari op Mac OS X op de knieën wist te krijgen, waardoor er nu in drie van de vier grote browsers kwetsbaarheden bekend zijn waarvoor nog geen update beschikbaar is.

Voor het hacken van Internet Explorer 11 op Windows 8.1 werd 100.000 dollar betaald, terwijl de onderzoekers die Firefox kraakten elk 50.000 dollar kregen. De hacks van Adobe Reader en Adobe Flash Player leverden elk 75.000 dollar op. De Safari-hack van Google werd met 32.500 dollar beloond, dat aan het Canadese Rode Kruis werd gedoneerd. Ook de 50.000 dollar die het HP-team voor de IE-hack kreeg ging naar dit goede doel.

Vandaag gaat Pwn2Own verder. In totaal kreeg de organisatie 15 inzendingen van onderzoekers die een browser of browserplug-in wilden hacken. Zodra de leveranciers in kwestie de beveiligingslekken hebben gepatcht worden de details pas vrijgegeven.

NSA kaapt botnets van cybercriminelen voor eigen gebruik
'Gebruik van encryptie maakt je verdacht volgens NSA'
Reacties (8)
13-03-2014, 09:55 door schele
van security.nl verwacht ik iets meer dan "de browser is gehackt". Wat betekent dat, is er een kwetsbaarheidje rond cookies, zijn er MiTM kwetsbaarhden, worden SSL certs niet goed gevalideerd?

Beetje goedkoop.
13-03-2014, 10:16 door Anoniem
Door schele: van security.nl verwacht ik iets meer dan "de browser is gehackt". Wat betekent dat, is er een kwetsbaarheidje rond cookies, zijn er MiTM kwetsbaarhden, worden SSL certs niet goed gevalideerd?

Beetje goedkoop.
Pwn2Own is volgens mij altijd remote code execution.
13-03-2014, 10:17 door Mysterio
Door schele: van security.nl verwacht ik iets meer dan "de browser is gehackt". Wat betekent dat, is er een kwetsbaarheidje rond cookies, zijn er MiTM kwetsbaarhden, worden SSL certs niet goed gevalideerd?
De uitwerking/toelichting op de kwetsbaarheden is uiteraard nog niet vrijgegeven. De kwetsbaarheden moeten volgens de regels eerst volledig worden opgeleverd aan de deelnemende bedrijven zodat ze er actie op kunnen ondernemen.
13-03-2014, 10:17 door Mend0x - Bijgewerkt: 13-03-2014, 10:36
Inderdaad. Dit is wel heel summier.

Door Mysterio:
Door schele: van security.nl verwacht ik iets meer dan "de browser is gehackt". Wat betekent dat, is er een kwetsbaarheidje rond cookies, zijn er MiTM kwetsbaarhden, worden SSL certs niet goed gevalideerd?
De uitwerking/toelichting op de kwetsbaarheden is uiteraard nog niet vrijgegeven. De kwetsbaarheden moeten volgens de regels eerst volledig worden opgeleverd aan de deelnemende bedrijven zodat ze er actie op kunnen ondernemen.

Maar ik neem aan dat er wel meer te achterhalen valt dan alleen "het is gehacked" lijkt me? Dat er geen exploitcode wordt gepresenteerd kan ik mee inkomen, maar hier kunnen we echt niets mee.

Klein beetje geGoogled, hier zijn de vulns voor Chrome: http://threatpost.com/google-fixes-four-high-risk-flaws-in-chrome-before-pwn2own/104749

Bij Chrome zijn dus 4 vulnerabilities gevonden.
13-03-2014, 10:49 door Redactie
@ Schele, het gaat zoals eerder aangegeven om Remote Code Execution, dit is aan de tekst toegevoegd.
13-03-2014, 11:20 door Briolet
Door Mend0x:Maar ik neem aan dat er wel meer te achterhalen valt dan alleen "het is gehacked" lijkt me?

Als je al een richting aangeeft, dan hebben ook de kwaadaardige hackers een idee in welke richting ze moeten zoeken voor een lek. Dus is het inderdaad beter om zo weinig mogelijk info te geven totdat de lekken opgelost zijn.
14-03-2014, 00:31 door [Account Verwijderd]
[Verwijderd]
14-03-2014, 09:13 door Mysterio
Door Ubuntu: IE zakt altijd eerste, dat is duidelijk,
Volgens mij lees ik dat Firefox en Safari ook zijn onderuitgehaald. Vanwaar jouw focus op IE?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Vacature
Vacature

Technisch Security Specialist

De IT in de zorg professionaliseert. De beweging naar de Cloud brengt nieuwe mogelijkheden met zich mee maar ook de noodzaak om op security gebied stappen te zetten. Wil je die stap met ons zetten en werken in een dynamische, moderne IT omgeving? Solliciteer dan op deze veelzijdige functie!

Lees meer

Welke messaging-app gebruik jij?

33 reacties
Aantal stemmen: 1121
Vacature
Vacature

Engineer IT-operations

Nationaal Cyber Security Centrum

Als engineer IT-operations werk je in DevOps-verband samen met de solution-engineers van het NCSC. Die zijn verantwoordelijk voor de implementatie, doorontwikkeling en het applicatief beheer van onze businessapplicaties. Jij vult de Ops-taken in. Jouw grootste uitdaging? Bestaande regels vertalen naar technische oplossingen.

Lees meer
Vacature
Vacature

(Senior) Solutions-engineer

Nationaal Cyber Security Centrum

Als (senior) technisch applicatie beheerder/developer ben je verantwoordelijk voor de implementatie, doorontwikkeling en het beheer van een aantal business applicaties en technische voorzieningen van het NCSC. Het gaat hierbij om applicaties en voorzieningen op het gebied van incident- en vulnerability management en malware analyse.

Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter