De webbrowser van alle vier die leveranciers staan op de hitlist voor Pwn2Own, dat van 9 tot en met 11 maart plaatsvindt tijdens de CanSecWest-conferentie. Security-gaten in Chrome, Firefox en nu ook nog Safari zijn gedicht in de aanloop naar die wedstrijd. Microsoft doet hier niet aan mee.

Patch Tuesday

De aankomende ronde van Microsofts vaste patch-cyclus brengt drie updates voor een totaal van vier kwetsbaarheden in Windows en Office Groove 2007. Het ontbreken van IE-patches is niet geheel onverwacht, stelt Computerworld.com. Vorige maand zijn er op Patch Tuesday nog diverse gaten in IE gedicht. Computerworld meldt dat Microsoft IE-updates in de praktijk uitbrengt op de even maanden, dus maart zou dan niet gepland zijn.

Het is ook mogelijk dat de Windows-producent bewust afwacht welke exploits er op Pwn2Own succesvol worden misbruikt, om dan juist die gaten als eerste te dichten. Dat kan dan gebeuren op de volgende Patch Tuesday, of juist eerder middels een noodpatch, indien er exploits uitlekken en actief misbruikt worden. Verder heeft Microsoft nog enkele al bekende gaten in IE open staan.

Safari-lekken

Apple heeft net een reeks gaten in browser-engine WebKit gedicht, die het gebruikt in Safari en in iTunes. De net verschenen nieuwe versie van laatstgenoemde is bijgewerkt op security-gebied met een record aan gedichte kwetsbaarheden, waaronder maar liefst 50 in WebKit. Dit heeft securitybedrijf Vupen opgemerkt. Dat voorspelt dat deze fixes ook snel uitkomen voor Safari.

Pwn2Own-organisator Tipping Point bevestigt alvast twee van de in iTunes gepatchte WebKit-gaten. Die lekken zijn gemeld aan het Zero Day Initiative van het bedrijf, die ze in oktober vorig jaar heeft doorgegeven aan Apple. Beide kwetsbaarheden maken het mogelijk eigen code uit te voeren op computers en die dan mogelijk over te nemen.

Chrome voorop

Google heeft als eerste zijn browser opgepoetst voor de hackwedstrijd. Dat deed het net nadat het deelname van Chrome had ‘gekocht’ door 20.000 dollar in de prijzenpot te leggen. De organisators van Pwn2Own wilden de Google-browser eerst uitsluiten, omdat die is gebaseerd op dezelfde Webkit-engine als Safari van Apple.