De Pwnie Awards worden uitgereikt op de Black Hat beveiligingsconferentie in Las Vegas. Het zijn zijn eigenlijk de Golden Raspberry Awards van de computerbeveiliging. Ze waren onderverdeeld in 7 categoriën dit jaar, namelijk die van ‘Best Server-Side Bug’, ‘Best Client-Side Bug’, ‘Best Privilege Escalation Bug’, ‘Most Innovative Research’, ‘Lamest Vendor Response’, ‘Best Song’ en ‘Most Epic FAIL’. Microsoft ging er vandoor met 3 van de 7 prijzen.

Microsoft faalt...

De ‘Most Innovative Research’ Pwnie ging naar Dionysus Blazakis voor zijn ontdekking dat de Windows beveiligingstechnologiën van DEP en ASLR omzeild kunnen worden door gebruik van Flash AVM2 virtual machine en de JIT engine.

De 'Best Privilege Escalation Bug’ ging naar Microsoft vanwege het lek in alle Windows versies dat door Travis Ormandy ontdekt is. Ormandy lag flink onder vuur voor het openbaar maken van de bug. Het was volgens de jury één van de meest ingewikkelde kwetsbaarheden.

...Episch

De klapper van de avond was de ‘Epic FAIL award’. McAfee had al flink zijn best gedaan om de prijs in de wacht te slepen door verkeerde virus definities te verspreiden met als gevolg dat een systeembestand van Windows in quarantaine werd gezet. Ook de IBM dong mee voor de hoofdprijs, omdat het USB sticks met malware verspreidde tijdens een beveiligingsbeurs.

De jury kende echter toch de ‘Epic FAIL Award’ toe aan Microsoft voor het cross-site scripting probleem in Internet Explorer 8. De fout in IE 8 was 'Epic' vanwege “de ingebouwde cross-site scripting filters die tot een jaar na de release nog cross-site scripting toepaste op normaal juist daattegen beveiligde sites”. De ironie hiervan was voor de jury doorslaggevend.

Overige gelukkigen

Verder ging de prijs voor ‘Best Server-Side Bug’

naar Apache Struts2, de prijs voor ‘Best Client-Side Bug’

naar Java, de prijs voor ‘Best Song’ naar Pwned - 1337 edition en de gouden babyknol voor ‘Lamest Vendor Response’ ging naar LANRev. Hun software werd gebruikt door scholen om leerlingen te bespioneren en een bleek ook nog eens lek. Hun reactie was daarop:

“Natuurlijk is het theoretisch mogelijk om onze software te hacken, maar we hebben van geen enkele klant gehoord dat dit een probleem is. Als ze dat nou zouden doen, zouden we natuurlijk meteen een patch uitgeven!”

Bron: Techworld