(Bilde: HP ZDI)

Ingen nettlesere besto testen

Etter to dager med Pwn2Own ble samtlige knekket minst to ganger.

Den årlige Pwn2Own-konkurransen ble denne uken arrangert at HPs Zero Day Initiative (ZDI) under CanSecWest-konferansen i Vancouver, Canada. Konkurransen dreier seg om å utnytte til nå ukjente sårbarheter i helt oppdaterte nettlesere. Men også flere andre programvareprodukter viste seg å ha sprekker under konkurransen.

En stadig tilbakevendende deltaker er det franske sikkerhetsselskapet VUPEN. I løpet av onsdagen demonstrerte selskapet sårbarheter i Firefox og Internet Explorer, men også i Adobe Reader og Flash. Samtlige sårbarheter åpner for kjøring av vilkårlig kode. VUPEN er forøvrig kjent for å selge sårbarheter til blant annet NSA.

Også Jüri Aedla demonstrerte en tilsvarende alvorlig sårbarhet i Firefox, mens Mariusz Mlynski utnyttet to sårbarheter i Firefox. Den første åpnet for eskalering av privilegier internt i nettleseren, mens den andre sårbarheten gjorde de mulig å omgå nettleserens sikkerhetstiltak.

Til sammen ble det det delt ut 400 000 dollar denne første dagen av Pwn2Own-konkurransen.

Onsdag ble også Pwn4Fun arrangert. Dette var et veldedig arrangement hvor ZDI skulle konkurrere mot Google om å utnytte sårbarheter i nettlesere eller Flash. Google demonstrerte utnyttelsen av en sårbarhet i Safari som fikk Calculator til å kjøre som root i OS X. ZDI demonstrerte en flertrinns angrepskode mot Internet Explorer. Denne var blant annet i stand til å omgå nettleserens sikkerhetssandkasse og laste Scientific Calculator som kjørte med middels integritet. Premien i konkurransen, til sammen 82 500 dollar, gikk til Røde Kors i Canada.

Også Googles egen Pwnium 4-konkurranse ble arrangert på onsdag. Målet i denne konkurransen er å finne og utnytte sårbarheter i Chrome OS. Premiepotten var på 2,71828 (e) millioner dollar, men den maksimale enkeltpremien var på 150 000 dollar. Ifølge Google var det denne gang bare én deltaker som greide å gjennomføre et angrep i henhold til kravet: «compromise with device persistence: guest to guest with interim reboot, delivered via a web page».

Dag 2

Laget til VUPEN var også med under dag to av konkurransen og greide å utnytte en «use-after-free»-sårbarhet i Chrome som finnes i både Blink- og WebKit-motorene. Denne ble kombinert med en omgåelse av sandkassen og resulterte i kjøring av vilkårlig kode.

Chrome ble også knekket av en anonym deltaker ved hjelp av en vilkårlig lese-/skrive-feil og en omgåelse av sandkassen. Og her var resultatet kjøring av vilkårlig kode. Dommerne i konkurransen dog erklært dette som bare en delvis seier fordi en av sårbarhetene som ble benyttet, allerede var blitt demonstrert i Pwnium-konkurransen.

Sebastian Apelt og Andreas Schmidt utnyttet to «use-after-free»-sårbarheter i Internet Explorer og en feil i Windows-kjernen for å laste kalkulatoren i Windows.

Liang Chen fra Keen Team demonstrerte en overflytsfeil i heap-en til Apple Safari, som sammen med en omgåelse av sandkassen i resulterte i kjøring av vilkårlig kode.

Sammen med Zeguang Zhou fra team509 demonstrerte Chen også en lignende sårbarhet i Adobe Flash.

George Hotz knekket Firefox ved å overskrive visse lese/skrive-grenser i nettleseren, noe som også resulterte i kjøring av vilkårlig kode.

Dermed ble alle de fire mest brukte pc-nettleserne knekket. Opera har i alle fall i de fem siste årene ikke fått være med i konkurransen.

Det ser så langt ikke ut til at noen av nettleserleverandørene har kommet med sikkerhetsoppdateringer som fjerner sårbarheten som ble utnyttet i konkurransene.

    Les også:

Til toppen