Tijdens het Pwn2Own 2018-evenement zijn beveiligingsdeskundigen erin geslaagd nieuwe kwetsbaarheden in de browsers Firefox, Edge en Safari uit te buiten. Daarmee wisten ze 267.000 dollar van de prijzenpot van 2 miljoen dollar binnen te slepen.

Woensdag demonstreerde onderzoeker Richard Zhu, alias fluorescence, een sandbox escape voor Safari maar hij kreeg zijn exploit niet werkend binnen de gestelde tijd van 30 minuten. Meer succes had hij bij een poging om Edge te kraken, met behulp van een use-after-free-kwetsbaarheid in combinatie met een integer overflow in de kernel. Ook Safari viel ten prooi op de eerste Pwn2Own-dag, via een combinatie van een JIT-optimalisatiebug, een macOS-kwetsbaarheid om de sandbox te verlaten en kernel-overwrite. Hacker Samuel Groß liet daarop een 'pwned'-tekst op de Touch Bar van de MacBook Pro verschijnen.

Donderdag was het opnieuw Zhu die ditmaal Firefox kraakte met een out-of-bounds-kwetsbaarheidgevolgd door een integer overflow. Drie hackers slaagden er daarna in om Safari opnieuw met succes aan te vallen. Dat lukte pas bij de vierde poging, waar slechts drie pogingen toegestaan zijn. Een ander team, van MWR labs, lukte het vervolgens alsnog om reglementair Safari te hacken, via een heap buffer overflow en een uninitialized stack variable in macOS.

Zhu mocht zich uiteindelijk met twaalf punten en 12.000 dollar aan prijzengeld Master of Pwn noemen. De wedstrijd wordt jaarlijks gehouden door Trend Micro's Zero Day Initiative, dat betaalt voor de kwetsbaarheden en deze doorspeelt naar het betreffende softwarebedrijf, dat negentig dagen krijgt om deze te patchen.

Opvallend was dit jaar dat Chinese onderzoekers zich terugtrokken, nadat de Chinese overheid had aangegeven niet te willen dat ze kwetsbaarheden via derde partijen buiten China deelden, schrijft Bleeping Computer. China wil dat de onderzoekers zich direct tot de leverancier wenden. In voorgaande jaren wonnen Chinese deelnemers regelmatig.

Reacties mogelijk gemaakt door CComment