Pwn2Own: Firefox, Chrome, Internet Explorer und Safari mit Sicherheitslücken
Pwn2Own ist ein jährlich stattfindender Hacking-Contest, dessen Teilnehmer versuchen, Schwachstellen in Systemen oder Browsern zu finden. Die Browser Firefox, Chrome, Internet Explorer und Safari stellen dabei offensichtlich ein gutes Ziel dar, sie wurden alle von zwei Teilnehmern so manipuliert, dass diese die letztendlich die Kontrolle hatten oder Informationen abgreifen konnten.
Dass so ein Vorgang nicht lange dauert, zeigten die Teilnehmer ebenfalls. Jung Hoon Lee knöpfte sich die Stable- und die Beta-Version vor und kassierte insgesamt 110.000 Dollar für zwei Bugs, die beide Versionen von Chrome knackten. Unaufwändig war dies allerdings nicht, Lee benötigte über 2.000 Zeilen Code für die Aktion,
Auch den Internet Explorer konnte Lee knacken, eine Kombination aus dem Erlangen von Rechten im Browser und einer Java Script Injection, um aus der Sandbox auszubrechen, brachten ihm einen weiteren Gewinn ein. Chrome brachte ihm 110.000 Dollar, der Internet Explorer 65.000 Dollar. Zwischenstand: 175.000 Dollar.
Weitere 50.000 Dollar erhielt Lee für die Übernahme von Safari. Hier setzte er ebenfalls Code ein, um der Sandbox zu entkommen. Mit Erfolg. Insgesamt erhielt Lee also 225.000 Dollar für das Angreifen von drei Browsern.
Ein weiterer Teilnehmer, der als ilxu1a unterwegs ist, schaffte es, Mozillas Firefox Browser zu übernehmen und Code auszuführen. Eine Lücke, die ihm immerhin 15.000 Dollar einbrachte.
Was zeigt uns das? Erst einmal, dass alle Browser in gewisser Weise unsicher sind. Es zeigt aber auch, dass es da draußen Leute gibt, die diese Lücken finden. Die bei solchen Wettbewerben gefundenen Lücken werden schnell geschlossen, waren aber erst einmal vorhanden. Der Pwn2Own Wettbewerb wird von der HP Zero Day Initiative und Googles Project Zero durchgeführt.
(Quelle: ThreatPost)
Dem Artikel fehlt eine ganz wichtige Information: Die Sicherheitslücken in Firefox sind zu diesem Zeitpunkt bereits seit einigen Stunden in Form von Firefox 36.0.3 aus der Welt geschafft.
Genauso wie aus dem chrome.
Insgesamt schnitt der chrome am besten an da nur 1 Versuch gelang. Auf den wiegen Plätzen Firefox, Safari und Schlusslicht (wie nicht anderes zu erwarten) Internet Explorer
@Marcel: Quantität und Qualität haben nichts miteinander zu tun. Anders gesagt: Dass der Internet Explorer die meisten Lücken in diesem Wettbewerb hatte, lässt keinerlei Schlussfolgerung der Art zu, dass der Internet Explorer Schlusslicht und Chrome der sicherste Browser sei. Diese Rechnung geht nicht auf, weil es die Schwere der Sicherheitslücken sowie den Umstand, ob die Lücken in der Praxis ausgenutzt werden oder nicht, sowie weitere Faktoren, an die ich gerade gar nicht denke, vollkommen außer Acht lässt. Die Anzahl der Lücken ist auf jeden Fall nur ein Aspekt von mehreren.
@Sören Hentzschel.
Möglicherweise wurden die Sicherheitslücken beim Update des FF nicht vollständig geschlossen oder es traten dabei Fehler auf denn Version 36.0.4 befindet sich bereits in der Pipeline.
Ist richtig, das habe ich auch eben gesehen, als ich meinen Artikel darüber geschrieben habe. Zwei behobene Sicherheitslücken laut Mozilla und drei gefundende laut HP, damit dürfte Firefox 36.0.4 die dritte Lücke schließen. 😉
Sein wir einfach froh, dass – wie Sascha es schreibt – es diese Veranstaltung gibt. Ich frage mich bei derlei Berichten häufig, ob diejenigen, die hier die dicken Preisgelder abgreifen, bestimmte Lücken nicht schon inoffiziell/heimlich vorab ihrer Teilnahme ins Visier genommen und angepeilt haben. Was dann zumindest bedeuten würde, dass einige Lücken länger existieren und ggf. bereits von diversen Gruppierungen ausgenutzt werden könnten. Ggf. könnten hier die Hacker sogar zwei mal kassieren, sollten sie profitorientiert arbeiten.
Wobei mir bei den Chinesen doch langsam etwas mulmig wird, wenn ich daran denke, was die so drauf haben. Die Asiaten generell sind da ziemlich auf Zack. Einer der Entwickler für ein Roottool für den Kindle Fire HD 7 (KFSOWI) ist Asiate (weiß nicht genau ob Chinese oder nicht). In vielen solcher Custom-ROM/Rootexploit-Entwicklerteams sind Chinesen/Asiaten. Mein Vater – er fährt auf Frachtern als Ausbildungsoffizier – hat erzählt, einige seiner chinesischen Kadetten haben bei einem Landgang in den USA einige Hardware eingekauft. Unter anderem wohl einen Kindle (keine Ahnung ob Reader oder Tablet). Auf die Frage meines Vaters, was er denn ohne Amazon-Anbindung damit wolle, antwortete der Kadett nur mit einem Grinsen und „Wir sind Chinesen. Wir kriegen alles wenn wir wollen.“.
Der Elefant M$ kann gar nicht so schnell reagieren da er weitaus mehr testen muss als die anderen Browserhersteller. Dies ist allerdings von M$ selbst verschuldet durch die unsinnige Verquickung des Internet Browsers mit dem lokalen Dateiexplorer.
Eine Rechteerhöhung im IE zieht fast immer auch eine lokale Rechteerhöhung nach, demzufolge ist so ein Fehler immer ein hohes Sicherheitsrisiko.
Laut Meldung wurde die Lücke entweder nur im IE11 gefunden oder nur dafür demonstriert, Oft zieht sich eine solche Lücke aber runter bis zum IE6.
@icancompute: Das hat IMHO nichts mit der Nationalität zu tun – GeoHot z.B. ist Amerikaner und geht auch ziemlich steil 🙂
@Wohn_Jayne
Doch hat es. Aus China kommt da immer mehr. Aber das heißt ja nicht, dass ich was gegen Chinesen habe. Ich würde das Selbe über Eskimos sagen, hätte ich den entsprechenden Eindruck.
https://www.techdirt.com/articles/20140725/11013528006/french-company-that-sells-exploits-to-nsa-sat-internet-explorer-vulnerability-three-years.shtml
Wer weiss wie lange solche Bugs schon „in the wild“ benutzt werden? Wer weiss, wieviel er vorher schon mit dem Bug verdient hat? Es ist schon echt heftig, wie löchrig alles ist.
Vielleicht kannst du auf die 90 Tage referenzieren, in denen es Microsoft nicht schafft eine Lücke zu schließen. War hier im Forum das Kindergarten Geschrei groß – kann ich mich erinnern.
„Unaufwändig war dies allerdings nicht, Lee benötigte über 2.000 Zeilen Code für die Aktion“
Ach Gottchen, 2000 Zeilen Code sind g a r n i c h t s, die schreibt ein guter Programmierer mit Nachdenkzeit in 2 Nachtschichten. Wenn ich für 2000 Zeilen im Schnitt 110.000 USD (55 USD pro Zeile) bekommen würde, wäre ich mehrfacher Millionär – jeden Monat.
Dir ist hoffentlich selbst klar, dass das eine Milchmädchenrechnung ist. Vor allem in Anbetracht der Tatsache, dass das kein Tagesgeschäft ist, sonder ein jährlich stattfindender Contest, die verdienen das nicht jeden Tag. Es hindert dich übrigens niemand dran, eine ähnliche Leistung zu vollbringen und schwerwiegende Sicherheitslücken in Betriebssystemen oder Browsern zu finden, das hat eine vollkommen andere Relevanz als das meiste, was man sonst so programmiert. 😉
@Sören Hentzschel,
was, wie bitte? Das was du geschrieben hat geht völlig an meinem Punkt vorbei.
Meine Aussage bezieht sich ausschließlich auf das Zitat aus dem Artikel. 2000 Zeilen sind kaum Aufwand. Schon gar nicht für 110k.
Nö, mein Kommentar bezieht sich auf genau das, was du geschrieben hast.
Die Aufwandsentschädigung ändert nicht das Geringste am Aufwand. Selbst wenn es kein Geld geben würde, würde das den Aufwand weder höher noch geringer machen. Und ich stimme dir auch nicht zu, dass gute Programmierer inklusive Nachdenkzeit in zwei Nachtschichten (nicht dass die Tageszeit in irgendeiner Form relevant wäre) 2000 Zeilen schreiben. Das kommt sicherlich auch vor, ist aber alles, nur kein Maßstab dafür, ob ein Programmierer gut ist, ganz und gar nicht, so kann man nicht rechnen. Gute Programmierer sind sehr häufig wesentlich länger mit dem drum herum beschäftigt (Überlegen von Algorithmen, entwerfen der Architektur) als tatsächlich Codezeilen zu schreiben. Natürlich lässt sich auch das genauso wenig verallgemeinern wie deine Aussage, Tatsache ist allerdings: auch ein schlechter Programmierer schreibt in der Zeit mal 2000 Zeilen, der beste Programmierer schreibt in zwei Nachtschichten unter Umständen aber auch nur 15 Zeilen Code, die es dafür in sich haben. Du vereinfachst das in deinem Kommentar viel zu stark. Auch deine Rechnung „Wenn ich für 2000 Zeilen im Schnitt 110.000 USD (55 USD pro Zeile) bekommen würde, wäre ich mehrfacher Millionär – jeden Monat“ geht einfach nicht auf, weil du Äpfel mir Birnen vergleichst. Nirgends geht es darum, dass jemand ein solchs Gehalt verdient, was den Vergleich sinnlos macht. Pwn2Own ist wie gesagt ein jährlich stattfindender Contest, ist also eine ganz andere Ebene, ein Preisgeld kannst du nicht mit einem Gehalt vergleichen.
@Sören Hentzschel,
ich hoffe, du verstehst das mit Absicht falsch 😉
Nochmal – was ich meinte war, dass 2000 Zeilen Code per se kein großer Aufwand sind, so wie es im Artikel dargestellt wird, und mehr nicht. Alles andere kannst du stecken lassen, weiß ich selber
Ich verstehe niemals Beiträge mit Absicht falsch. Ich lese, was geschrieben wird, und interpretiere das entsprechend. Ich kann in der Interpretation nicht berücksichtigen, was gemeint sein könnte, aber so nicht rüberkommt. Und für mich kommt das einfach sehr stark verallgemeinert und vereinfacht rüber. Natürlich sind 2000 Zeilen nicht per se viel, aber genauso wenig per se gar nichts.
@Sören Hentzschel,
dann setzt du voraus, dass Geschriebenes immer eindeutig ist. Musst du nochmal evaluieren, dein System. Ansonsten haben wir Menschen unter anderem genau dafür ein Gehirn – für die kontextgebundene Abstraktion.
Also wenn du schon klugscheißern willst, dann solltest du auch berücksichtigen, dass im echten Leben Programmierer keine Systemarchitekten sind und so weiter und so fort. Deine Ausführungen enthalten genau genommen auch 1000 (nicht genau, btw -> Abstraktion ;-)) Unschärfen.
Im Kontext eines 110k USD Preises sind 2000 Zeilen Code (da wo ich herkomme) gerade lächerlich. Im Text (siehe Zitat) wird es so dargestellt, als ob der Junge dafür einen großen Aufwand betreiben musste. Dieser Aufwand ist dem Text nach auf das Schreiben von 2000 Zeilen Code beschränkt. Ich hoffe, das ist jetzt etwas klarer.
Falsch. Ich setze voraus, dass andere ihre Worte überlegt wählen. Dein Kommentar war halt eine ziemlich starke Verallgemeinerung und die Rechnung weit hergeholt, das kann man doch zugeben ohne da nun so einen Tanz aufzuführen, da ist doch überhaupt nichts Schlimmes bei. Abhaken und gut. Mein Widerspruch in Richtung deines Beitrages ist auf jeden Fall kein Grund, das auf eine persönliche Ebene zu ziehen, das tust du an der Stelle mit der Fäkalsprache leider. Und du brauchst mir übrigens nichts über das echte Leben eines Programmierers erzählen, ich arbeite selbst in dieser Branche, nicht nur du. Meine Darstellung mag vereinfacht gewesen sein, aber es ging hier nicht darum, dass ich nun in tausend Wörtern das Leben eines Programmierers, Sotftware-Architekten oder sonst was erörtere, das wäre vollkommen am Thema vorbei, es ging lediglich um eine ganz konkrete Aussage von dir, der ich widersprochen habe, weil sie viel zu allgemein gehalten war und in dieser Form nicht weniger falsch als die Aussage, der du widersprochen hast. Ich habe das lediglich relativiert.
@Sören Hentzschel,
du willst mir also erzählen, dass es für dich nicht möglich war, aus meinem ersten Beitrag zu abstrahieren, dass ich es vom Autor des Artikels lächerlich finde, dass er von Aufwand schreibt wenn jemand für 110k USD 2000 Codezeilen schreibt?
Denn wenn du Programmierer bist dann solltest du wissen, dass Aufwand in der Regel die erbrachte Leistung gemessen am Nutzen darstellt.
Um das nochmal aufzuschlüsseln in diesem Fall: Der Aufwand für den Programmierer bestand aus ein paar Tagen Arbeit in denen er zweitausend Zeilen Code produziert hat. Der Nutzen ist (unter anderem) 110k USD. Der Aufwand ist in dem Fall verschwindend gering (eben am Nutzen orientiert).
Lies dir das nochmal genau durch, denn mein Beitrag bezog sich ausschließlich auf das Zitat.