De vier meest gebruikte browsers bleken dit jaar op de Pwn2Own-hackwedstrijd alle vier te hacken. In totaal werden 21 bugs onthuld, en werd 557.500 dollar aan prijzengeld uitgekeerd.
‘Man van de wedstrijd’ was JungHoon Lee, die als hacker opereert onder de naam lokihardt. Hij bracht zowel Internet Explorer als Safari en Chrome op de knieën. Het meest verdiende hij met de hack van Chrome, waarin hij een race-conditie had opgespoord; in zo’n situatie kan een hacker zijn code – als die goed ontworpen is en precies snel genoeg werkt – binnensmokkelen in een bestaand proces dat op antwoord wacht.
Deze ontdekking leverde Lee 75.000 dollar op. Daar kwam nog 25.000 dollar bij omdat hij via deze hack wist in te breken in het onderliggende Windows. En omdat het ook werkte op de bèta van Chrome kreeg hij nog eens 10.000 dollar. Al meT al kostte de demonstratie Lee 2 minuten.
Bij Internet Explorer gebruikte Lee ook een race-toestand, de time-of-check-to-time-of-use-kwetsbaarheid; daarbij wist hij de beveiligingsmaatregelen in IE te omzeilen met een JavaScript. Dat leverde hem 65.000 dollar op. En bij Safari vond hij een kwetsbaarheid in het geheugenbeheer die bekend staat onder de term Use after free. Die ontdekking was goed voor 50.000 dollar.
In totaal leverde de Pwn2Own-hackwedstrijd dit jaar 5 bugs in Windows, 4 bugs in Internet Explorer 11, 3 bugs in Firefox, 3 bugs in Adobe Reader, 3 bugs in Adobe Flash, 2 bugs in Apple Safari en 1 bug in Google Chrome op. Meer details zijn te vinden op de website van HP – dat de wedstrijd organiseert via zijn dochter TippingPoint – in de verslagen over dag 1 en dag 2.
Bron: Automatiseringgids.
