Ingen nettlesere besto testen

Etter to dager med Pwn2Own ble samtlige knekket minst to ganger.

Harald BrombachHarald BrombachNyhetsleder
14. mars 2014 - 10:41

Den årlige Pwn2Own-konkurransen ble denne uken arrangert at HPs Zero Day Initiative (ZDI) under CanSecWest-konferansen i Vancouver, Canada. Konkurransen dreier seg om å utnytte til nå ukjente sårbarheter i helt oppdaterte nettlesere. Men også flere andre programvareprodukter viste seg å ha sprekker under konkurransen.

En stadig tilbakevendende deltaker er det franske sikkerhetsselskapet VUPEN. I løpet av onsdagen demonstrerte selskapet sårbarheter i Firefox og Internet Explorer, men også i Adobe Reader og Flash. Samtlige sårbarheter åpner for kjøring av vilkårlig kode. VUPEN er forøvrig kjent for å selge sårbarheter til blant annet NSA.

Også Jüri Aedla demonstrerte en tilsvarende alvorlig sårbarhet i Firefox, mens Mariusz Mlynski utnyttet to sårbarheter i Firefox. Den første åpnet for eskalering av privilegier internt i nettleseren, mens den andre sårbarheten gjorde de mulig å omgå nettleserens sikkerhetstiltak.

Til sammen ble det det delt ut 400 000 dollar denne første dagen av Pwn2Own-konkurransen.

Onsdag ble også Pwn4Fun arrangert. Dette var et veldedig arrangement hvor ZDI skulle konkurrere mot Google om å utnytte sårbarheter i nettlesere eller Flash. Google demonstrerte utnyttelsen av en sårbarhet i Safari som fikk Calculator til å kjøre som root i OS X. ZDI demonstrerte en flertrinns angrepskode mot Internet Explorer. Denne var blant annet i stand til å omgå nettleserens sikkerhetssandkasse og laste Scientific Calculator som kjørte med middels integritet. Premien i konkurransen, til sammen 82 500 dollar, gikk til Røde Kors i Canada.

Også Googles egen Pwnium 4-konkurranse ble arrangert på onsdag. Målet i denne konkurransen er å finne og utnytte sårbarheter i Chrome OS. Premiepotten var på 2,71828 (e) millioner dollar, men den maksimale enkeltpremien var på 150 000 dollar. Ifølge Google var det denne gang bare én deltaker som greide å gjennomføre et angrep i henhold til kravet: «compromise with device persistence: guest to guest with interim reboot, delivered via a web page».

Dag 2

Laget til VUPEN var også med under dag to av konkurransen og greide å utnytte en «use-after-free»-sårbarhet i Chrome som finnes i både Blink- og WebKit-motorene. Denne ble kombinert med en omgåelse av sandkassen og resulterte i kjøring av vilkårlig kode.

Chrome ble også knekket av en anonym deltaker ved hjelp av en vilkårlig lese-/skrive-feil og en omgåelse av sandkassen. Og her var resultatet kjøring av vilkårlig kode. Dommerne i konkurransen dog erklært dette som bare en delvis seier fordi en av sårbarhetene som ble benyttet, allerede var blitt demonstrert i Pwnium-konkurransen.

Sebastian Apelt og Andreas Schmidt utnyttet to «use-after-free»-sårbarheter i Internet Explorer og en feil i Windows-kjernen for å laste kalkulatoren i Windows.

Liang Chen fra Keen Team demonstrerte en overflytsfeil i heap-en til Apple Safari, som sammen med en omgåelse av sandkassen i resulterte i kjøring av vilkårlig kode.

Artikkelen fortsetter etter annonsen
annonse
Schneider Electric
Schneider Electric lanserer Galaxy VXL UPS
Schneider Electric lanserer Galaxy VXL UPS

Sammen med Zeguang Zhou fra team509 demonstrerte Chen også en lignende sårbarhet i Adobe Flash.

George Hotz knekket Firefox ved å overskrive visse lese/skrive-grenser i nettleseren, noe som også resulterte i kjøring av vilkårlig kode.

Dermed ble alle de fire mest brukte pc-nettleserne knekket. Opera har i alle fall i de fem siste årene ikke fått være med i konkurransen.

Det ser så langt ikke ut til at noen av nettleserleverandørene har kommet med sikkerhetsoppdateringer som fjerner sårbarheten som ble utnyttet i konkurransene.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Jobbsøknad: Slik skiller du deg ut i den store bunken
Les mer
Jobbsøknad: Slik skiller du deg ut i den store bunken
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra