Flere af de mest populære internet-browsere blev knækket under den årlige hacker-konkurrence pwn2own, som blev afholdt onsdag og torsdag i denne uge i forbindelse med sikkerheds-konferencen CanSecWest. Det skriver Ars Technica.
Hvis hackeren kan få browseren til at køre vilkårlig kode – og fjerne alle sandbox-restriktioner for koden – så får hackeren lov til at beholde den maskine, som browseren kører på – og der er også en kontant præmie i konkurrencen.
Den første browser som faldt var Safari 5.0.3 på en fuldt-patchet Mac OS 10.6.6-maskine. Det franske sikkerhedsfirma Vupen viste hvordan man kunne få browseren til at starte systemets lommeregner og skrive en fil til harddisken.
Vupen fortalte bagefter at tre sikkerhedsforskere har arbejdet i to uger på at udvikle angrebsmetoden for at knække Safari.
Apple forsøgte at kaste i grus i maskineriet ved at udsende en ny version af Safari (5.0.4) lige inden konkurrencen, hvor flere sikkerhedshuller var lukket, men Apple havde ikke formået at fjerne alle sårbarhederne og Vupen kunne alligevel gennemføre sin demonstration.
Så gik det ud over Internet Explorer 8 på Windows 7 Service Pack 1, som blev hacket af sikkerheds-eksperten Stephen Fewer fra Harmony Security. Hans demonstration startede også med at åbne lommeregneren og skrive en fil på harddisken.
Fewer havde brugt tre forskellige sårbarheder; de to første tillader afvikling af kode i browseren, mens den sidste gør det muligt at slippe ud af browserens kunstige sandkasse.
Den tredje browser skulle stå sin prøve onsdag var Google Chrome, men den tilmeldte deltager dukkede aldrig op – måske fordi Google netop har udgivet en større opdatering til Chrome og lukket 24 sikkerhedshuller.
Google havde ellers udlovet en kontant præmie på 20.000 dollar til den person, der kunne hacke browseren – men ingen havde lyst til at prøve lykken.
Torsdag var det så Firefox, der skulle knækkes – men igen var der ingen af de tilmeldte deltagere, som dukkede op.
Til gengæld kunne en sikkerhedsekspert demonstrere, at iPhone kan hackes fra en manipuleret webside – han viste hvordan adressebogen kan slettes fra browseren. Charlie Miller fik en kontant præmie på 15.000 dollar og en iPhone for sine anstrengelser.
Et andet hold på tre mand viste, hvordan det er muligt at hacke den populære Blackberry.
