Chrome doorstaat eerste Pwn2Own-dag

Google krijgt kritiek
De uitdaging voor de hackers is groot. Op de vorige edities van Pwn2Own was Chrome steeds de enige browser die gedurende de hele wedstrijd een te harde noot bleek voor de hackers om te kraken. Google krijgt echter kritiek. Vlak voor de wedstrijd werd nog een patch uitgebracht die maar liefst 24 lekken dichtte. Degene die de handschoen zou oppakken, kwam dan ook niet opdagen. Vermoedelijk was het aanvalsplan door de patch in duigen gevallen. Microsoft had ten behoeve van de wedstrijd afgelopen dinsdag het aantal patches zeer beperkt gehouden. Ook Apple heeft in de aanloop naar de wedstrijd nog zijn browser in de best mogelijke conditie proberen te brengen met een patchronde.

Safari viel eerst
De eerste browser die aan de beurt kwam en ondanks de recente patches zijn verdediging opgaf, was Safari 5.0.3 die op Mac OS X 10.6.6 draaide. De eer viel te beurt aan een specialist van het Franse bedrijf VUPEN die daarvoor een speciale website had gecreëerd. Vijf seconden na het bezoek van die site kon hij een speciale calculator op de machine laten zien, ten teken dat hij in staat was geweest m via de lekke browser externe code op de machine te plaatsen.

Voorbereiding IE8-hack kostte paar weken
Vervolgens bezweek ook een 32-bits versie van Internet Explorer 8, draaiende op 64-bits Windows 7. Een specialist van het Amerikaanse Harmony Security slaagde er in als eerste door de beveiliging van de browser te breken. De hacker, Stephen Fewer, zei na afloop gebruik te hebben gemaakt van drie verschillende softwarefouten in de browser. Hij had een week of zes aan voorbereiding van deze aanval besteed.

Op de tweede dag komt ook Mozilla Firefox in het strijdtoneel. Daarna worden ook de mobiele browsers voor iOS, Blackberry OS, Android en Windows Phone 7 aan de tand gevoeld.

De Pwn2Own-wedstrijd is onderdeel van het CanSecWest beveiligingscongres in Vancouver.