Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 18/3/2016
Konkurrencen Pwn2Own har afdækket en række hidtil ukendte sårbarheder i Apple Safari, Mac OS X, Adobe Flash, Google Chrome, Windows og Edge.Under Pwn2Own konkurrerer sikkerhedsforskere om at udnytte hidtil ukendte sikkerhedshuller til at kompromittere sikkerheden i udvalgte systemer.
På førstedagen blev der demonstreret 15 nye sårbarheder:
Et angreb udnyttede et hul i Safari og tre sårbarheder i Mac OS X til at afvikle programkode og få root-privilegier.
Et andet afviklede programkode under Windows med privilegier som System ved at udnytte en sårbarhed i Flash og en i Windows.
En sårbarhed i Safari og en i en privilegeret proces førte til afvikling af programkode og øgede privilegier.
Et angreb på Chrome udnyttede to sårbarheder i Flash, en i Windows og en i Chrome.
Yderligere et angreb udnyttede en sårbarhed i Flash sammen med en i Windows til at afvikle kode med privilegier som System.
På konkurrencens anden dag gav en sårbarhed i Safari og en i Mac OS X adgang til at køre programmer som root.
En sårbarhed i Microsoft Edge gav i kombination med et hul i Windows adgang til at køre kode med privilegier som System. Samme trick gennemførte et andet hold ved at udnytte andre sårbarheder.
I alt blev der i løbet af konkurrencen fundet 21 nye sårbarheder: Seks i Windows, fem i Mac OS X, fire i Flash, tre i Safari, to i Edge og en i Chrome (der dog var blevet indrapporteret parallelt af en anden sikkerhedsforsker).
I alt blev der uddelt 460.000 dollars i præmier til vinderne.
Anbefaling
Afvent sikkerhedsopdateringer fra de berørte producenter.