IE11, Firefox, Safari, Flash Player en Adobe Reader gehackt
Verschillende onderzoekers en hackers zijn tijdens de Pwn2Own-wedstrijd in Vancouver erin geslaagd om de meest recente versies van Internet Explorer 11, Mozilla Firefox, Adobe Flash Player en Adobe Reader op Windows 8.1 en Apple Safari op Mac OS X Mavericks te hacken.
Via de gedemonstreerde kwetsbaarheden wisten de onderzoekers het onderliggende systeem over te nemen. Pwn2Own is een jaarlijks evenement waarbij onderzoekers en hackers worden uitgedaagd om de veiligheid van browsers en browserplug-ins te testen. Het Franse beveiligingsbedrijf VUPEN wist gisteren vier keer toe te slaan, door het hacken van Internet Explorer 11, Adobe Reader, Adobe Flash Player en Firefox.
Mozilla Firefox werd ook door onderzoekers Mariusz Mlynski en Jüri Aedla gehackt. In alle gevallen is het uitvoeren van willekeurige code mogelijk. Alleen Google Chrome wist het hackgeweld op de eerste dag van de wedstrijd te doorstaan.
Pwn4Fun
Hoewel Apple Safari niet tijdens Pwn2Own sneuvelde, moest de browser er wel aan geloven tijdens Pwn4Fun. Een nieuw onderdeel dat tijdens Pwn2Own werd georganiseerd. Pwn2Own wordt gesponsord door het Zero Day Initiative (ZDI) van HP. Dit jaar besloten Google en HP elkaar uit te dagen tijdens Pwn4Fun, waarbij de twee teams van de IT-bedrijven onbekende lekken in browsers proberen te vinden.
De onderzoekers van HP slaagden erin om Internet Explorer te hacken, terwijl Google Safari op Mac OS X op de knieën wist te krijgen, waardoor er nu in drie van de vier grote browsers kwetsbaarheden bekend zijn waarvoor nog geen update beschikbaar is.
Voor het hacken van Internet Explorer 11 op Windows 8.1 werd 100.000 dollar betaald, terwijl de onderzoekers die Firefox kraakten elk 50.000 dollar kregen. De hacks van Adobe Reader en Adobe Flash Player leverden elk 75.000 dollar op. De Safari-hack van Google werd met 32.500 dollar beloond, dat aan het Canadese Rode Kruis werd gedoneerd. Ook de 50.000 dollar die het HP-team voor de IE-hack kreeg ging naar dit goede doel.
Vandaag gaat Pwn2Own verder. In totaal kreeg de organisatie 15 inzendingen van onderzoekers die een browser of browserplug-in wilden hacken. Zodra de leveranciers in kwestie de beveiligingslekken hebben gepatcht worden de details pas vrijgegeven.
Beetje goedkoop.
Beetje goedkoop.
Maar ik neem aan dat er wel meer te achterhalen valt dan alleen "het is gehacked" lijkt me? Dat er geen exploitcode wordt gepresenteerd kan ik mee inkomen, maar hier kunnen we echt niets mee.
Klein beetje geGoogled, hier zijn de vulns voor Chrome: http://threatpost.com/google-fixes-four-high-risk-flaws-in-chrome-before-pwn2own/104749
Bij Chrome zijn dus 4 vulnerabilities gevonden.
Als je al een richting aangeeft, dan hebben ook de kwaadaardige hackers een idee in welke richting ze moeten zoeken voor een lek. Dus is het inderdaad beter om zo weinig mogelijk info te geven totdat de lekken opgelost zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Senior Security Consultant
Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.
