Java knekket tre ganger på en dag

Heller ikke nettleserne greide å stoppe Pwn2Own-deltakerne.

Vinnerne av Pwn2Own-konkurransen kan smykke seg med denne jakken.
Vinnerne av Pwn2Own-konkurransen kan smykke seg med denne jakken. Bilde: ZDI
Harald BrombachHarald BrombachNyhetsleder
7. mars 2013 - 09:23

Den årlige hackerkonkurransen Pwn2Own startet i går under sikkerhetskonferansen CanSecWest i Vancouver, Canada. I årets konkurransen er det knekking av enten nettlesere eller nettleser-plugins som gjelder.

Allerede den første dagen ble både Chrome, Firefox, Internet Explorer og Java knekket. Windows 7 eller 8 var tilsynelatende operativsystemene som samtlige valgte, selv om OS X Mountain Lion også kan velges.

Hele tre deltakere eller grupper greide å utnytte sårbarheter i og rundt Java. Siden det florerer av sårbarheter i Java for tiden, er dette kanskje ikke den mest krevende grenen.

One presumes that using a Java exploit at #Pwn2Own is like doping in cycling. Or riding a motorbike for the TdF. Mike Shaver, Mozilla.

Så var da premien for Java-knekking bare 20 000 dollar, sammenlignet med 100 000 dollar for knekking av Chrome eller IE10.

De tre som knekket Java var James Forshaw, Joshua Drake og selskapet VUPEN Security. Sistnevnte skriver at dette ble oppnådd ved å utnytte en heap-overflytsfeil til å omgå ASLR (Address Space Layout Randomization).

Hackerne John og Nils fra MWRlabs greide å knekke Chrome ved å omgå nettleserens sikkerhetssandkasse. En beskrivelse av hvordan dette ble gjort, finnes her. Google hadde rett i forkant av konkurransen fjernet ti sårbarheter fra nettleseren, men tydeligvis ikke den som ble utnyttet her.

Også Firefox ble knekket av VUPEN. Her ble det utnyttet en «Use after free»-sårbarhet og en ny teknikk for å omgå ASLR/DEP (Data Execution Prevention) i Windows 7.

VUPEN var aktive i går og sto også for knekkingen av Internet Explorer 10. Dette ble gjort på en Surface Pro-maskin med Windows 8. Ifølge VUPEN utnyttet de to nulldagssårbarheter i IE10 til å oppnå full kompromittering av Windows 8 med omgåelse av sikkerhetssandkassen.

Mens Google de to siste årene har boikottet Pwn2Own på grunn av uenighet med arrangøren, DVLabs Zero Day Initiative, om utlevering av sårbarhetsdetaljene, så er selskapet i år sponsor av Pwn2Own sammen med HP. I år vil de berørte programvareleverandørene få utlevert detaljene om sårbarhetene den 12. mars.

Dette betyr likevel ikke at Google dropper å arrangere selskapets egen Pwnium-konkurranse parallelt med Pwn2Own.

Artikkelen fortsetter etter annonsen
annonse
Schneider Electric
Schneider Electric lanserer Galaxy VXL UPS
Schneider Electric lanserer Galaxy VXL UPS

I Pwnium-konkurransen, som går av stabelen senere i dag, er det Chrome OS som deltakerne skal forsøke å knekke. Premiepotten er på π (3,14159) millioner dollar og premien per kompromittering er på inntil 150 000 dollar.

Senere i dag skal det gjøres tre nye kompromitteringsforsøk i Pwn2Own-konkurransen, mot henholdsvis Adobe Flash Player og Reader, samt et nytt forsøk mot Internet Explorer 10.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
4 fordeler med å bruke Tekjobb til rekruttering
Les mer
4 fordeler med å bruke Tekjobb til rekruttering
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra