Een beveiligingsonderzoeker heeft op de Pwn2Own-hackingcompetitie als eerste een prijs in de wacht weten te slepen. De onderzoeker vond en gebruikte een gat in Safari, waardoor er code kon worden uitgevoerd op een Mac OS X-machine.
De exploit werkte met Safari 5.0.3 en een volledig gepatchte 64bit-Mac OS X 10.6.6-installatie, meldt ZDNet. Het bedrijf van beveiligingsonderzoeker Chaouki Bekrar ontwikkelde een website die, wanneer deze werd bezocht, binnen vijf seconden de rekenmachine van Mac OS X start en een bestand naar de desktop wegschrijft.
Details over de hack zijn nog niet vrijgegeven, maar duidelijk is wel dat de aanval shellcode uitvoert via return oriented programming en de aslr- en dep-beschermingen die Apple heeft ingebouwd, weet te omzeilen. De onderzoekers krijgen 15.000 euro en een MacBook Air als beloning.
Volgens Bekrar werd het maken van een betrouwbare, werkende exploit bemoeilijkt doordat er weinig documentatie beschikbaar is over het misbruiken van lekken in de 64bit-versie van Mac OS X. Een team van drie man is twee weken bezig geweest om de kwetsbaarheid op te sporen met fuzzers en vervolgens een exploit te schrijven. Op de dag dat de aanval bekend werd, bracht Apple al een nieuwe versie van Safari uit, waarin de nodige beveiligingslekken werden gedicht; onduidelijk is of dat ook met het desbetreffende lek is gebeurd.
Ook Internet Explorer 8 werd op de competitie gekraakt, meldt Ars Technica. Onderzoeker Stephen Fewer slaagde erin de browser op een 64bit-installatie van Windows 7 met service pack 1 de Windows-rekenmachine te laten starten en een bestand te laten wegschrijven naar de desktop. Daartoe werden drie aparte beveiligingslekken gebruikt, waarbij code moest worden uitgevoerd door de browser en de Internet Explorer-sandbox moest worden omzeild.
Google Chrome is op de eerste dag van de hackingcompetitie niet gekraakt, terwijl Google een prijs van 20.000 dollar had beloofd aan de deelnemer die dat op de eerste dag van de competitie voor elkaar zou krijgen. De Pwn2Own-competitie, waarin hackers binnen een bepaalde tijd software moeten kraken, wordt dit jaar voor de vijfde keer gehouden tijdens de CanSecWest-beveiligingsconferentie. Onder andere browsers zijn het doelwit, maar bijvoorbeeld ook firmware van mobiele telefoons. Woensdag is onder andere Mozilla Firefox het doelwit.