De veiligheid van Java was al niet in een al te beste staat, maar tijdens de Pwn2Own-hackerwedstrijd is de software van Oracle vier keer knock-out gegaan. De wedstrijd die woensdag en donderdag plaatsvond begon met een hack van Java en eindigde met een hack van Java. Pwn2Own is een jaarlijks terugkerende wedstrijd waarbij onderzoekers dit jaar browsers en plug-ins moesten hacken.

In ruil voor het vinden, demonstreren en rapporteren van het lek of lekken, krijgen de hackers en onderzoekers een beloning. In het geval van Java had de organisatie er rekening mee gehouden dat de software eenvoudig te kraken was. Voor het hacken van Google Chrome en Internet Explorer 10 werd 100.000 dollar uitgeloofd, wie Java-hackte kreeg een cheque van 20.000 dollar en de laptop waarop de hack plaatsvond.

Beveiligingsonderzoeker James Forshaw beet het spits af en zette woensdag de eerste Java-hack neer. Een uur later werd zijn voorbeeld gevolgd door onderzoeker Joshua Drake van Accuvant Labs. De eerste dag van de wedstrijd werd door het Franse beveiligingsbedrijf VUPEN met een succesvolle Java-hack afgesloten.

Prijzengeld
Ook gisteren was het weer raak. Onderzoeker Ben Murphy wist via proxy de meest recente versie van Java te kraken, wat hem ook 20.000 dollar opleverde. Daarmee werd het kwartet Java-hacks voltooid. De software van Oracle was de enige die meerdere keren tijdens de wedstrijd sneuvelde.

VUPEN wist woensdag ook IE10 te hacken waarmee het 100.000 dollar verdiende. Toch was dit volgens het bedrijf niet voldoende, omdat het vinden van een lek en ontwikkelen van een exploit veel tijd in beslag neemt.

In het geval van Java is dat een heel ander verhaal, aldus Forshaw. Op de opmerking dat het prijzengeld voor Java een fractie van de andere programma's is, laat hij weten dat gezien het uurtarief het nog steeds de moeite waard was om mee te doen. Wanneer Oracle de gerapporteerde lekken gaat verhelpen is onbekend.