Minst fire antatt ukjente sikkerhetshull i Java ble utnyttet under Pwn2Own-konkurransen denne uken. Dette kommer i tillegg til en rekke andre som allerede har blitt rapportert til Oracle tidligere i mars. Foreløpig er det trolig ingen av dem som utnyttes i aktive angrep, men som alltid er det kun et tidsspørsmål før det vil skje.

Java knekket nok en gang

Nye ofre i hackerkonkurransen Pwn2Own.

Dag to av hackerkonkurransen Pwn2Own gikk av stabelen i går. Det resulterte i at både Adobe Flash Player og Reader ble knekket. I tillegg greide enda en person å knekke sikkerheten i Java Runtime Environment.

Allerede onsdag greide nemlig tre ulike deltakere å knekke Java-programvaren. Angrepskoden var laget av Ben Murphy, men det var en stedfortreder for ham som deltok i konkurransen.

George Hotz greide å utnytte en sårbarhet i Adobe Reader XI.

– Det første jeg gjorde var å bryte meg inn i sandkassen. Det neste jeg gjorde var å bryte meg ut, sa Hotz i en kommentar som er gjengitt av ZDI, som arrangerer Pwn2Own.

VUPEN Security, som har vunnet Pwn2Own-titler i både 2011 og 2012, plukket tre nye titler på onsdag, og fanget inn ytterligere én i går etter å ha demonstrert utnyttelse av en sårbarhet i Adobe Flash Player.

Allerede før forsøket ble utført, kunngjorde selskapet at det ville bli gjennomført ved hjelp av tre nulldagssårbarheter – en overflytsfeil, en teknikk for omgåelse av ASLR (Address Space Layout Randomization) og til slutt et tilfelle av minnekorrumpering i sandkassen til IE9.

    Les også:

Til toppen