image

Mozilla en Google dichten Pwn2Own-lek binnen 24 uur

vrijdag 8 maart 2013, 09:53 door Redactie, 4 reacties

Mozilla en Google hebben nog geen 24 uur na een succesvolle hack van Firefox en Chrome een nieuwe versie van beide browsers uitgebracht om gebruikers te beschermen. Het Franse beveiligingsbedrijf VUPEN wist tijdens de Pwn2Own hackerwedstrijd als enige Firefox 19 te hacken. Google Chrome sneuvelde door het werk van de hackers Nils en Jon van MWR Labs.

Voor de hack van Firefox werd er een geheel nieuwe techniek gebruikt om de Data Execution Prevention (DEP) en Address Space Layout Randomization (ASLR) beveiliging van Windows 7 te omzeilen. Aangezien Firefox niet over een sandbox beschikt kreeg VUPEN een lager bedrag voor de succesvolle hack dan voor het hacken van Google Chrome en Internet Explorer 10 werd uitgereikt.

De organisatie beloonde het Franse beveiligingsbedrijf, dat beveiligingslekken aan allerlei partijen verkoopt, met 60.000 dollar. De hackers van MWR Labs kregen daarentegen 100.000 dollar op hun rekening bijgeschreven.

Snelheid
"We ontvingen de technische details op woensdagavond en hadden binnen 24 uur het probleem vastgesteld, een patch gebouwd, de update en nieuwe versie gevalideerd en de patch onder onze gebruikers uitgerold", zegt Mozilla's Michael Coates. "Onze snelheid met het oplossen van dit probleem geeft aan hoe belangrijk we security vinden."

Ook Google publiceerde een nieuwe versie van Chrome, waarin het lek van Nils en Jon is opgelost. Opmerkelijk genoeg staat bij de impact dat het om een 'high' kwetsbaarheid gaat. Deze categorie van beveiligingslekken maakt het niet mogelijk om het onderliggende systeem over te nemen.

Dat is in het geval van Chrome alleen mogelijk bij 'critical' lekken. Toch zouden Nils en Jon via hun hack de computers met Windows 7 hebben gecompromitteerd. Details worden pas bekendgemaakt als voldoende gebruikers over de nieuwste versie beschikken.

Updaten naar de nieuwste Chrome- en Firefox-versies zou automatisch moeten gebeuren. De Pwn2Own wedstrijd was bedoeld om de veiligheid van browsers en populaire software zoals Flash, Java en Adobe Reader te testen.

Reacties (4)
08-03-2013, 10:32 door Anoniem
Erg apart dat je een bedrijf kan hebben welke beveiligingslekken opzettelijk verkoopt voor financieel gewin...
08-03-2013, 10:43 door 0101
Door Redactie: Ook Google publiceerde een nieuwe versie van Chrome, waarin het lek van Nils en Jon is opgelost. Opmerkelijk genoeg staat bij de impact dat het om een 'high' kwetsbaarheid gaat. Deze categorie van beveiligingslekken maakt het niet mogelijk om het onderliggende systeem over te nemen.

Dat is in het geval van Chrome alleen mogelijk bij 'critical' lekken. Toch zouden Nils en Jon via hun hack de computers met Windows 7 hebben gecompromitteerd.
Dit doet vermoeden dat er, behalve dit lek, ook nog een probleem gebruikt is om uit de sandbox te ontsnappen. De regels van Pwn2Own verplichten deelnemers niet om ook het lek waarmee uit de sandbox ontsnapt is te delen (reden voor Google om een paar jaar geleden met de Pwnium wedstrijd te beginnen), dus dat lek zit er dan nog steeds in.
08-03-2013, 11:01 door [Account Verwijderd]
[Verwijderd]
08-03-2013, 11:59 door 0101
Door Peter V:
Dit doet vermoeden dat..........dus dat lek zit er dan nog steeds in.
OK, een vermoeden, ..maar kun je dan wel een conclusie trekken: dus dat lek zit er dan nog steeds in??
Waarmee ik met "dan" bedoel: als mijn vermoeden juist is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.