Safari app icon op iPhone

Twee zerodaylekken gevonden in Safari bij Pwn2Own-competitie

Laatst bijgewerkt: 22 maart 2019
Leestijd: 1 minuut, 2 seconden

Tijdens de Pwn2Own-competitie in Vancouver hebben twee teams van beveiligingsonderzoekers zerodaylekken gevonden in de browser van Apple. De competitie is onderdeel van het Zero Day Initiative van Trend Micro en is bedoeld om kwetsbaarheden te ontdekken, die vervolgens doorgegeven worden aan de fabrikanten, zodat deze de lekken kunnen dichten. Onderzoekers die meedoen worden hiervoor beloond.

Team Fluoroacetate

Het team van Fluoroacetate wist Safari te kraken en uit de beschermde sandboxomgeving te ontsnappen. Ze gebruikten daarvoor bruteforce-technieken, waardoor het uitvoeren van de aanval vrij lang duurde. Voor de ontdekking en de demonstratie van dit zerodaylek kregen de onderzoekers 55.000 dollar en vijf punten voor de competitie.

Team phoenhex & qwerty

Een ander team lukte het om via een browseraanval een heel systeem over te nemen. Ze veroorzaakten een bug om root-toegang te krijgen en via een time-of-check-time-of-use-bug konden ze de overstap naar de kernel maken. Van één van de technieken die gebruikt werden was Apple al wel op de hoogte, maar toch werd er 45.000 dollar en vier punten voor de competitie uitgereikt.

In totaal werd tijdens de Pwn2Own-competitie tot nu toe 240.000 dollar uitgereikt. Op de eerste dag werden verder nog succesvol een OracleVirtualBox en VMWare Workstation aangevallen. Op vrijdag proberen de deelnemers systemen van auto’s te kraken.

Hoofdauteur:

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen

Op zoek naar een VPN?

Bekijk ons overzicht met de meest betrouwbare, snelle en veilige VPN-services.
Uitgebreid getest door experts.

Bekijk welke VPN het beste bij je past