image

Onderzoekers demonstreren zeroday-lekken in Edge en Safari

donderdag 15 maart 2018, 09:53 door Redactie, 3 reacties

Onderzoekers hebben tijdens de Pwn2Own-wedstrijd in Vancouver laten zien hoe ze macOS en Windows 10 via onbekende kwetsbaarheden in respectievelijk Safari en Edge kunnen overnemen. Alleen het bezoeken van een kwaadaardige website is voldoende.

Pwn2Own is een jaarlijks terugkerende wedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in browsers en andere veelgebruikte programma's. Onderzoekers kunnen met succesvolle aanvallen allerlei geldprijzen winnen. Gedemonstreerde beveiligingslekken worden vervolgens aan de betreffende leverancier gemeld, zodat die een update kan ontwikkelen.

Onderzoeker Richard Zhu gebruikte twee kwetsbaarheden in Edge en een integer overflow in de Windows 10-kernel om zijn exploit met verhoogde rechten op het systeem uit te voeren. Hij werd hiervoor beloond met een bedrag van 70.000 dollar. Samuel GroB maakte voor zijn aanval ook gebruik van drie kwetsbaarheden, alleen dan in Safari en macOS. Hiervoor ontving hij 65.000 dollar.

Daarnaast werd er tijdens de eerste dag van Pwn2Own een gedeeltelijk succesvolle aanval op de virtualisatiesoftware Oracle VirtualBox gedemonstreerd, die onderzoeker Niklas Baumstark 27.000 dollar opleverde. In totaal is er voor deze editie van Pwn2Own 2 miljoen dollar aan prijzengeld beschikbaar. De wedstrijd wordt georganiseerd door het Zero Day Initiative, dat onderdeel van anti-virusbedrijf Trend Micro is. Wanneer de gevonden kwetsbaarheden door Apple, Microsoft en Oracle worden gepatcht is nog onbekend. Vandaag vindt de tweede dag van de wedstrijd plaats en zullen onderzoekers aanvallen op Firefox en Safari demonstreren.

Reacties (3)
15-03-2018, 11:38 door Anoniem
Heel goed idee, deze demos. Mooi dat er een geldbedrag mee te verdienen is. Door dit soort initiatieven is de klas kleiner dat bijvoorbeeld overheden ons kannen gaan hacken en/of afluisteren.
15-03-2018, 13:34 door Anoniem
Goed idee, maar of daardoor de kans kleiner wordt dat overheden ons gaan hacken en/of afluisteren. 70k is niets vergeleken bij zero days op de zwarte markt waar men al snel honderdduizenden of miljoenen euro's betaald voor een zero day. https://nos.nl/artikel/2213156-een-goede-hack-hoeft-helemaal-niet-slim-te-zijn.html
17-03-2018, 13:07 door [Account Verwijderd]
Door Anoniem: Goed idee, maar of daardoor de kans kleiner wordt dat overheden ons gaan hacken en/of afluisteren. 70k is niets vergeleken bij zero days op de zwarte markt waar men al snel honderdduizenden of miljoenen euro's betaald voor een zero day. https://nos.nl/artikel/2213156-een-goede-hack-hoeft-helemaal-niet-slim-te-zijn.html

Hackende overheden?
Het is realistischer te stellen dat '70K' van de wereldbevolking gebaat is bij de veilige mogelijkheid om m.b.v. Edge of Safari bijvoorbeeld bij Bol.com een wekkerradio te kopen!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.