Hacket IE, Firefox og Safari

Hacket IE, Firefox og Safari

I går tjente Nils 15.000 dollar på å hacke tre nettlesere på rappen. Deriblant blodferske IE8.

I går kom Internet Explorer 8 (IE8) ut. Men idet den kom ut, hadde den allerede blitt hacket av vitenskapsstudenten Nils fra Tyskland, som ikke ønsket å oppgi sitt etternavn. Det var under Pwn2Own-konkurransen under Cansecwest-konferansen at dette skjedde.

- På få minutter klarte han å utnytte et til da ukjent hull i den nye nettleseren, sier Terri Forslof fra konkurransesponsor 3Coms Tippingpoint til Computerworld USA.

Tjente fett på hacks

Ifølge Forslof kjørte laptopen Nils brøt seg inn på et rimelig nytt internbygg av Windows 7.

For å avdekke hullet fikk Nils 5000 amerikanske dollar og en Sony-bærbar. Men Nils ga seg ikke der, Nils var driftig på Pwn2Own. Han tok også ned Safari og Firefox med angrepskode han hadde laget på forhånd. Totalt tjente Nils 15.000 dollar på sine «skills».

- Helt rått

Forslof omtaler situasjonen som "helt sinnssyk", og mener Pwn2Own 2009 er vesentlig råere enn i 2008, da kun to hull ble avdekket.

- Nils utnyttet IE8-hullet, og da trodde alle at han var ferdig. Men så kom han tilbake og sa «Er det greit om jeg tester ut mitt Safari-hull? Og, forresten, jeg har et for Firefox også», forteller Forslof.

- Etter to timer hadde vi fire sikkerhetshull og 20.000 dollar utbetalt.

Det fjerde hullet var det, slik cw.no skrev i går, fjorårets store vinner Charlie Miller som spikret. I år hacket han Safari på ti sekunder på en fullt oppdatert Mac.

Tippingpoint «får» hullene

Men hva får så sponsor 3Com Tippingpoint igjen for alt det her, bortsett fra slunken lommebok i finanskrisetider?

De får «rettighetene» til hullet ved å få vite hvordan det ble hacket.

Fem minutter etter at Nils knakk IE8, ga Tippingpoint opplysningene til Microsoft Security Research Center som også var på Pwn2Own-konferansen, ifølge Forslof. Detaljene rundt hullet og hacket gis i henhold til konkurransereglene ikke ut før hullet er tettet av leverandøren.

Microsoft vil dog ikke bekrefte sårbarheten. Følgende uttalelse skriver en talskvinne i en epost til Computerworld USA:

«Microsoft undersøker rapporter om en potensiell sårbarhet i Internet Explorer 8. Hvis sårbarheten bekreftes, vil vi ta grep for å hjelpe til med å beskytte våre kunder.»