Hacket nettlesere og Flash for 283 000 dollar

Årets Pwn2Own-konkurranse er i full gang.

Harald BrombachHarald BrombachNyhetsleder
18. mars 2016 - 09:52

Første dag av den årlige Pwn2Own-konkurransen gikk av stabelen i går, som vanlig i forbindelse med sikkerhetskonferansen CanSecWest i Vancouver, Canada.

Fem ulike lag gjorde til sammen seks forsøk på å trenge gjennom sikkerheten til enten Apple Safari, Google Chrome og Adobe Flash Player, sistnevnte enten separat, i Google Chrome eller i Microsoft Edge.

15 sårbarheter

De to forsøkene på å oppnå root-tilgang med Apple Safari var begge vellykkede. I det ene angrepet ble det utnyttet fire til nå ukjente sårbarheter, mens det andre var basert på to sårbarheter.

De to rene Flash-angrepene var også vellykkede, men for å oppnå SYSTEM-tilgang i Windows, ble det også utnyttet sårbarheter i Windows Kernel. I alt ble det utnyttet fire sårbarheter i disse to angrepene, hvorav to i Flash Player.

Det ble bare gjort ett angrepsforsøk mot Chrome og Flash Player. Dette angrepet utnyttet to sårbarheter i Flash Player, én sårbarhet i Chrome og én sårbarhet i Windows Kernel for å kunne kjøre koden i SYSTEM-konteksten. Teknisk var dette angrepet vellykket, men i konkurransen ble det bare regnet som delvis vellykket fordi Chrome-sårbarheten er den samme som er beskrevet i en tidligere, uavhengig rapport til Google.

Det siste forsøket, som involverte Flash Player i Microsoft Edge, var mislykket.

Til sammen ble det utbetalt premier på 282 500 dollar til lagene som lyktes med sine angrep. Det til nå største enkeltbeløpet, 80 000 dollar, fikk laget 360Vulcan Team for det ene Flash-angrepet. Det samme laget ble premiert med ytterligere 52 500 dollar for det delvis vellykkede Chrome-angrepet.

Master of Pwn

Lagene gis også Master of Pwn-poeng etter et spesielt system som trolig er basert på vanskelighetsgrad. Flest poeng (13) gis det for å trenge ut av VMware Workstation, men det ser ikke ut til at noen av lagene har tenkt til å prøve seg på dette. Laget som ender opp med flest poeng til slutt, blir kåret til årets Master of Pwn.

Konkurransene fortsetter i dag med ytterligere fem angrep mot enten Chrome, Edge, Safari og Flash Player.

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.