Flash, Adobe Reader en Java (voor de vierde keer) gekraakt op Pwn2Own

Op de tweede dag van de jaarlijkse door HP georganiseerde hacker-wedstrijd Pwn2Own - waar beveiligingsonderzoekers kunnen proberen om lekken in software te vinden - zijn ook de browser-plugins Flash, Adobe Reader en Java gekraakt.

Gisteren werden Internet Explorer, Google Chrome en Firefox al gehackt door de deelnemers. En het kwetsbare Java werd maar liefst drie keer opengebroken op de eerste dag van Pwn2Own.

Afgelopen nacht werden in Canada (waar Pwn2Own plaatsvindt) de browser-plugins Flash, Adobe Reader en Java onder vuur genomen door de deelnemende beveiligingsonderzoekers. VUPEN verdiende 70.000 dollar met het kraken van de beveiliging van Flash. Ook Adobe Reader XI werd gehackt - en leverde onderzoeker George Hotz 70.000 dollar op.

De beveiliging van Java werd voor de vierde keer opengebroken op Pwn2Own! Dit leverde slechts 20.000 dollar op voor de hackers, omdat Java als makkelijk te kraken bekend staat...

Alle lekken worden gemeld aan de producenten van de software, die de komende dagen of weken beveiligingsupdates voor hun applicaties zullen uitbrengen. Google en Mozilla hebben als eerste updates voor Chrome en Firefox uitgegeven om de Pwn2Own-lekken - binnen 24 uur! - te dichten.

Conclusie van Pwn2Own 2013 is dat alle aangevallen browsers (IE, Google Chrome en Firefox - Opera en Safari werden niet uitgetest) en plugins (Flash, Adobe Reader en Java) voor de bijl gingen. Bedenk echter wel dat de beveiligingsonderzoekers die de lekken vonden hier soms weken mee bezig zijn. Makkelijke lekken zijn niet meer te vinden, aangezien de beveiliging van de browsers en plugins steeds beter wordt - met sandboxen en andere extra beveiligingslagen.

Een uitzondering moet misschien gemaakt worden voor Java, dat maar liefst vier keer gekraakt werd in twee dagen. Het lijkt er dus op dat producent Oracle nog veel werk moet verrichten om de beveiliging van Java op peil te krijgen...

Bron: HP ZDI