Alle de store nettleserne, inkludert Chrome, Firefox, Internet Explorer og Safari, ble sprakk i løpet av årets to-dagers Pwn2Own-konkurranse som drives av HPs Zero Day Initiative (ZDI).

To sårbarheter ble funnet i Google Chrome, inkludert en sandkasseomkobling og en vilkårlig les / skrive-feil, som begge resulterte i kodekjøring. Sistnevnte ble ansett som en delvis seier, siden en del av den ble oppdaget tidligere på Pwnium.

Tre bruksfrie bugs og en kjernefeil som tillod at systemkalkulatoren ble åpnet ble oppdaget i Microsoft Internet Explorer.

To Mozilla Firefox-bøker, som har resultert i kjøring av kode, ble funnet i tillegg til en bruk-etter-fri bug som tillater en sandkasseomkobling. To flere problemer ble funnet som tillater privilegier eskalering i nettleseren og et sikkerhetsmål omkjøring.

En haug overflytning og en sandkasse bypass som resulterer i kode kjøring ble oppdaget i Apple Safari.

Det var heller ikke alle nettlesere. En annen heap overløp og sandbox bypass ble oppdaget i Adobe Flash og Adobe Reader, samt en bruk-etter-fri Internet Explorer-sandbox bypass i Flash.

eies

Konkurransens sponsorer, Google og ZDI, viste også noen feil de fant som en del av Pwn4Fun-delen av arrangementet, noe som trolig ikke var mye moro for de målrettede nettleserne.

Google viste hvordan det kunne utnytte Safari for å åpne Kalkulator som rot på Mac OS X, mens ZDI lanserte Scientific Calculator ved hjelp av en sandkasseomkoblingsutnyttelse i Internet Explorer.

Totalt ble $ 850.000 utbetalt til vinnere i løpet av de to dagene, i tillegg til bærbare datamaskiner, ZDI-poeng og andre premier. $ 82 500 ble også gitt til det kanadiske røde kors av google og zdi.

Alle de oppdagede sårbarhetene ble rapportert til de respektive selskapene, slik at de kan adresseres i fremtidige oppdateringer.

Via ZDNet

  • Hvilken nettleser skal du bruke?