De Pwnie Awards zijn gister uitgereikt op de Black Hat-beveiligingsconferentie die deze week plaatsvindt in Las Vegas. Het zijn zijn eigenlijk de Golden Raspberry Awards van de computerbeveiliging. Ze waren onderverdeeld in 7 categoriën dit jaar, namelijk die van ‘Best Server-Side Bug’, ‘Best Client-Side Bug’, ‘Best Privilege Escalation Bug’, ‘Most Innovative Research’, ‘Lamest Vendor Response’, ‘Best Song’ en ‘Most Epic FAIL’. Microsoft ging er vandoor met 3 van de 7 prijzen.

Microsoft faalt...

De ‘Most Innovative Research’ Pwnie ging naar security-expert Dionysus Blazakis voor zijn ontdekking hoe Windows-beveiligingstechnologiën DEP en ASLR te omzeilen. Dat doet hij door gebruik te maken van Flash AVM2 virtual machine en de JIT-engine.

De 'Best Privilege Escalation Bug’ ging naar Microsoft vanwege het lek in alle Windows-versies dat is ontdekt door Travis Ormandy, security-onderzoeker bij Google. Ormandy lag flink onder vuur voor het openbaar maken van de bug. Het was volgens de jury één van de meest ingewikkelde kwetsbaarheden.

...Episch

De klapper van de avond was de ‘Epic FAIL award’. Hoewel McAfee flink zijn best had gedaan om de prijs in de wacht te slepen door verkeerde virus definities te verspreiden, waardoor een systeembestand van Windows in quarantaine werd gezet. Ook deed de IBM mee voor deze prijs, omdat het usb-sticks met malware verspreidde tijdens een beveiligingsbeurs.

De jury kende echter toch de ‘Epic FAIL Award’ toe aan Microsoft voor het cross-site scripting probleem in Internet Explorer 8. De fout in IE8 was 'epic' vanwege “de ingebouwde cross-site scripting filters die tot een jaar na de release nog cross-site scripting toepasten op normaal juist beveiligde sites”. De ironie hiervan was voor de jury doorslaggevend.

Overige gelukkigen

Verder ging de prijs voor ‘Best Server-Side Bug’ naar Apache Struts2, de prijs voor ‘Best Client-Side Bug’ naar Java, de prijs voor ‘Best Song’ naar Pwned - 1337 edition en de gouden babyknol voor ‘Lamest Vendor Response’ ging naar LANRev.

De software van dat bedrijf is gebruikt door scholen om leerlingen te bespioneren en bleek ook nog eens lek. De leveranciersrespons daarop was: “Natuurlijk is het theoretisch mogelijk om onze software te hacken, maar we hebben van geen enkele klant gehoord dat dit een probleem is. Als ze dat nou zouden doen, zouden we natuurlijk meteen een patch uitgeven!”

Bron: Techworld.nl.