Browsers geslacht tijdens beveiligingsconferentie

Tijdens de inmiddels beruchte pwn2own wedstrijd op de Cansecwest beveiligingsconferentie in Vancouver zijn de belangrijkste internet browsers wederom ten prooi gevallen aan hackers. De hackers wisten tijdens de wedstrijd met hun #0day exploits zowel Firefox, Safari en Internet Explorer te kraken. Google Chrome was door geen van de aanvallers als slachtoffer gekozen en was daardoor geen onderdeel van de wedstrijd. Naast de browsers werd er ook op de iPhone ingebroken.

De nederlander Peter Vreugdenhil nam Internet Explorer voor zijn rekening. Door 2 exploits op een slimme manier te combineren wist hij administratieve rechten te verkrijgen op een Windows 7 machine met Internet Explorer 8. Hierbij passeerde hij beveiligingsmaatregelen zoals DEP en ASLR, die Microsoft in nieuwere Windows versies heeft ingebouwd om te voorkomen dat kwetsbaarheden in browsers niet direct van invloed zijn op de werkplek. Vreugdenhil, die vooraf nog via Twitter liet weten te hopen dat de Canadese/Engelse Windows versie hetzelfde zou reageren als zijn Nederlandse versie, verdiende hiermee een nieuwe laptop en $10.000.

De details van de inbraken blijven vooralsnog geheim. Om te voorkomen dat kwaadwillende hackers de details misbruiken om op werkplekken in te breken zijn eerst de leveranciers aan zet om de veiligheid van de producten aan te passen.