Pwn2Own-concurrenten kraken alle belangrijke webbrowsers
NieuwsAlle grote webbrowsers, waaronder Chrome, Firefox, Internet Explorer en Safari, werden gekraakt tijdens de tweedaagse Pwn2Own-wedstrijd van HP, geleid door HP's Zero Day Initiative (ZDI).
In Google Chrome zijn twee kwetsbaarheden aangetroffen, waaronder een bypass voor een sandbox en een willekeurige lees- / schrijf-fout, die beide resulteerden in de uitvoering van code. De laatste werd als een gedeeltelijke overwinning beschouwd, omdat een deel ervan eerder in Pwnium werd ontdekt.
Drie gebruik-na-vrije gratis bugs en een kernel-bug waarmee de systeemcalculator kon worden geopend, werden ontdekt in Microsoft Internet Explorer.
Twee out-of-bound lees / schrijf-bugs die resulteerden in code-uitvoering werden gevonden in Mozilla Firefox, evenals een use-after-free bug die een bypass van een sandbox mogelijk maakte. Er zijn nog twee problemen gevonden die escalatie van bevoegdheden in de browser en een bypass-beveiliging toestaan.
Een heap-overloop en een bypass voor een zandbak die code-uitvoering tot gevolg hadden, werden opgemerkt in Apple Safari.
Het waren ook niet allemaal webbrowsers. Een andere heap-overloop en bypass van de zandbak is ontdekt in Adobe Flash en Adobe Reader, evenals een use-after-free Internet Explorer sandbox-bypass in Flash.
Bezeten
De sponsoren van de competitie, Google en ZDI, toonden ook een aantal bugs die ze vonden als onderdeel van het Pwn4Fun-gedeelte van het evenement, wat waarschijnlijk niet leuk was voor de makers van de gerichte browsers.
Google liet zien hoe het Safari kon exploiteren om Calculator te openen als root in Mac OS X, terwijl ZDI Scientific Calculator lanceerde met behulp van een sandbox-bypass-exploit in Internet Explorer.
In totaal werd $ 850.000 uitbetaald aan winnaars gedurende de twee dagen, naast laptops, ZDI-punten en andere prijzen. $ 82.500 werd ook gegeven aan het Canadese Rode Kruis door Google en ZDI.
Alle gevonden kwetsbaarheden zijn gerapporteerd aan de respectieve bedrijven, zodat ze kunnen worden geadresseerd in toekomstige patches.
Via ZDNet
- Welke browser moet je gebruiken??