Pwn2Own 2019 hack wedstrijd: Chromium ook gekraakt (3)

Op de jaarlijkse hacker-wedstrijd Pwn2Own, waar beveiligingsonderzoekers kunnen proberen om browsers en andere software te kraken, zijn op dag 1 lekken in browser Safari en virtualisatie-software VirtualBox en VMWare uitgebuit.

Op dag 2 zijn Edge en Firefox gekraakt. Beide browsers zijn twee keer succesvol aangevallen, waarbij onder andere de sandbox omzeild werd.

Andere browsers, zoals Google Chrome, staan niet op het programma om aangevallen te worden, maar op dag 3 is wel met succes een poging ondernomen om het infotainment systeem van de Tesla Model 3, dat gebaseerd is op Chromium, te hacken. Dus ook Chrome (dat eveneens gebaseerd is op Chromium) zal waarschijnlijk snel een update krijgen.

De Pwn2Own-wedstrijd vond in 2019 op 20, 21 en 22 maart plaats in Vancouver onder auspiciën van het Zero Day Initiative van beveiligingsbedrijf TrendMicro. Verschillende beveiligingsonderzoekers van diverse bedrijven en organisaties probeerden lekken te vinden in software en melden deze dan aan de producenten zodat die de kwetsbaarheden kunnen reparen voordat criminelen er misbruik van kunnen maken.

De volgende software is op Pwn2Own 2019 aangevallen en gekraakt:

• VirtualBox (2x succesvol)
• Firefox (2x succesvol)
• Edge (2x succesvol)
• Safari (1x succesvol, 1x deels succesvol)
• VMWare (1x succesvol)
• Infotainment systeem Tesla - gebaseerd op Chromium (1x succesvol)

De komende weken zullen er weer veel beveiligingsupdates verschijnen om de gevonden lekken te dichten. Firefox 66.0.1 is al verschenen met pleisters voor de gevonden lekken.

Pwn2Own is een jaarlijks terugkerend evenement, tegenwoordig georganiseerd door TrendMicro, waar de beveiliging van browsers, besturingssystemen en plugins wordt getest door verschillende beveiligingsonderzoekers. Voor het vinden van lekken (die aan de producenten gemeld worden) krijgen de hackers forse beloningen.