Pwn2Own 2019 hack wedstrijd: Chromium ook gekraakt (3)

Op de jaarlijkse hacker-wedstrijd Pwn2Own, waar beveiligingsonderzoekers kunnen proberen om browsers en andere software te kraken, zijn op dag 1 lekken in browser Safari en virtualisatie-software VirtualBox en VMWare uitgebuit.

Op dag 2 zijn Edge en Firefox gekraakt. Beide browsers zijn twee keer succesvol aangevallen, waarbij onder andere de sandbox omzeild werd.

Andere browsers, zoals Google Chrome, staan niet op het programma om aangevallen te worden, maar op dag 3 is wel met succes een poging ondernomen om het infotainment systeem van de Tesla Model 3, dat gebaseerd is op Chromium, te hacken. Dus ook Chrome (dat eveneens gebaseerd is op Chromium) zal waarschijnlijk snel een update krijgen.

De Pwn2Own-wedstrijd vond in 2019 op 20, 21 en 22 maart plaats in Vancouver onder auspiciën van het Zero Day Initiative van beveiligingsbedrijf TrendMicro. Verschillende beveiligingsonderzoekers van diverse bedrijven en organisaties probeerden lekken te vinden in software en melden deze dan aan de producenten zodat die de kwetsbaarheden kunnen reparen voordat criminelen er misbruik van kunnen maken.

De volgende software is op Pwn2Own 2019 aangevallen en gekraakt:

  • VirtualBox (2x succesvol)
  • Firefox (2x succesvol)
  • Edge (2x succesvol)
  • Safari (1x succesvol, 1x deels succesvol)
  • VMWare (1x succesvol)
  • Infotainment systeem Tesla - gebaseerd op Chromium (1x succesvol)

De komende weken zullen er weer veel beveiligingsupdates verschijnen om de gevonden lekken te dichten. Firefox 66.0.1 is al verschenen met pleisters voor de gevonden lekken.

Pwn2Own is een jaarlijks terugkerend evenement, tegenwoordig georganiseerd door TrendMicro, waar de beveiliging van browsers, besturingssystemen en plugins wordt getest door verschillende beveiligingsonderzoekers. Voor het vinden van lekken (die aan de producenten gemeld worden) krijgen de hackers forse beloningen.

Bron: 
Deel dit artikel: 

Reacties

Waarom wordt google chrome niet aangevallen? bang dat dat binnen 10 min gekraakt zou zijn? Google chrome zou toch de grootste zijn?

Redactie, ik ben ook wel nieuwsgierig naar bovenstaande vraag van Ronnie. Is de reden bekend?

als VirtualBox gehackt word , heeft die hacker dan ook toegang op je originele pc ?

Dat kan, maar dit lek is nog niet openbaar gemaakt. Dus VirtualBox producent Oracle kan dit dichtplakken voordat criminelen het kunnen misbruiken. Dit is een wedstrijd voor beveiligingsonderzoekers en die maken lekken pas openbaar als ze dichtgeplakt zijn. Dus je kunt binnenkort een update voor VirtualBox verwachten.

Reageren

Plain text

  • Toegelaten HTML-tags: <a> <em> <strong> <br> <br /> <i> <b> <p>
  • Regels en alinea's worden automatisch gesplitst.
  • Adressen van webpagina's en e-mailadressen worden automatisch naar links omgezet.
Controlevraag tegen spam
_ostenrijk