Browser Safari 5 dan IE8 Berhasil Dijebol "Hacker"

VANCOUVER, KOMPAS.com - Tak disangka browser Safari buatan Apple dan Internet Explorer 8 buatan Microsoft punya nasib yang sama. Berhasil dijebol hacker di hari pertama kontes Pwn2Own yang digelar sebagai bagian dari konferensi teknologi keamanan CanSecWest di Vancouver, Kanada, 9-11 Maret 2011.

Para peneliti sistem keamanan dari perusahaan Vupen, Perancis menjadi tim pertama yang berhasil menjebol Safari 5. Bahkan sesuai angka versi software tersebut, mereka melakukannya hanya dalam waktu lima detik. Tidak main-main yang dijebol adalah browser versi 64 bit yang berjalan di Mac OS X Snow Leopard di MacBook dan sudah di-patch besar-besaran sebelumnya.

Co-founder Vupen, Charouki Bekrar, dan dua anggota timnya bekerja keras selama dua minggu untuk menemukan kelemahan di Safari 5. Mereka menemukannya pada bagian Webkit, mesin rendering berbasis open source yang digunakan browser tersebut. Mereka sukses mengeksploitasi kelemahan itu dan menembus sistem lewat ASLR (Address Space Layout Randomization) and DEP (Data Execution Prevention), dua fitur keamanan yang khusus dirancang untuk mencegah program jahat menyusup.

Bahkan, tim tersebut telah membuat program khusus untuk disusupkan lewat lubang kelemahan tersebut. Program tersebut mengaktifkan kalkulator dan menginfeksi komputer untuk mengambil akses secara penuh. "Korban yang mengunjungi sebuah website, ia akan terjebak. Tanpa perlu interaksi apa pun," kata Bekrar.

Sementara IE8 tantangan berhasil dipecahkan peneliti keamanan dari Irlandia Stephen Fewer. Ia sukses menjebol browser tersebut yang berjalan di Windows 7 versi 64 bit. Untuk menembus sistem keamanan IE8, Fewer menemukan tiga kelemahan, dua di antaranya sudah diperkirakannya sejak awal untuk melakukan eksploitasi. Dengan menembus dua kelamahan itu, ia berhasil menemukan kelemahan ketiga untuk menjebol Protected Mode sandbox sehingga dapat mengakses sistem operasi secara penuh. Seperti Vupen, ia juga sukses menyusup dengan menjebol DEP dan ASLR di Windows 7.

Atas keberhasilannya, Vupen membawa 15.000 dollar AS dan komputer MacBook Air 13 inci yang ditaklukannya. Sementara Fewer juga berhak menggondol hadiah sebesar 15.000 dollar AS dan sebuah komputer Sony Vaio yang berhasil diambil alih sistemnya.

Sesuai aturan kontes, semua teknik eksploitasi yang berhasil dilakukan untuk menembus kelemahan tersebut tidak akan dipublikasikan. Pihak panitia memberikan data tersebut kepada TioipingPoint selaku sponsor. Selanjutnya info tersebut akan diberikan kepada masing-masing vendor untuk memberi kesempatan melakukan patch atau perbaikan sampai 6 bulan sebelum diungkap kepada publik.

Kontes berlangsung di hari kedua. Namun, browser lainnya, Chrome 9 dan Firefox 3.6 gagal dijebol peserta mana pun. Sementara itu, untuk kontes mobile devices, iPhone 4 dan BlackBerry Torch juga berhasil ditaklukkan. Sementara Android dan Windows Phone 7 berhasil bertahan.