Pwn2Own: Firefox, Chrome, Internet Explorer und Safari mit Sicherheitslücken

21. März 2015 Kategorie: Backup & Security, Internet, geschrieben von:

Pwn2Own ist ein jährlich stattfindender Hacking-Contest, dessen Teilnehmer versuchen, Schwachstellen in Systemen oder Browsern zu finden. Die Browser Firefox, Chrome, Internet Explorer und Safari stellen dabei offensichtlich ein gutes Ziel dar, sie wurden alle von zwei Teilnehmern so manipuliert, dass diese die letztendlich die Kontrolle hatten oder Informationen abgreifen konnten.

Dass so ein Vorgang nicht lange dauert, zeigten die Teilnehmer ebenfalls. Jung Hoon Lee knöpfte sich die Stable- und die Beta-Version vor und kassierte insgesamt 110.000 Dollar für zwei Bugs, die beide Versionen von Chrome knackten. Unaufwändig war dies allerdings nicht, Lee benötigte über 2.000 Zeilen Code für die Aktion,

Auch den Internet Explorer konnte Lee knacken, eine Kombination aus dem Erlangen von Rechten im Browser und einer Java Script Injection, um aus der Sandbox auszubrechen, brachten ihm einen weiteren Gewinn ein. Chrome brachte ihm 110.000 Dollar, der Internet Explorer 65.000 Dollar. Zwischenstand: 175.000 Dollar.

Weitere 50.000 Dollar erhielt Lee für die Übernahme von Safari. Hier setzte er ebenfalls Code ein, um der Sandbox zu entkommen. Mit Erfolg. Insgesamt erhielt Lee also 225.000 Dollar für das Angreifen von drei Browsern.

Ein weiterer Teilnehmer, der als ilxu1a unterwegs ist, schaffte es, Mozillas Firefox Browser zu übernehmen und Code auszuführen. Eine Lücke, die ihm immerhin 15.000 Dollar einbrachte.

Was zeigt uns das? Erst einmal, dass alle Browser in gewisser Weise unsicher sind. Es zeigt aber auch, dass es da draußen Leute gibt, die diese Lücken finden. Die bei solchen Wettbewerben gefundenen Lücken werden schnell geschlossen, waren aber erst einmal vorhanden. Der Pwn2Own Wettbewerb wird von der HP Zero Day Initiative und Googles Project Zero durchgeführt.

(Quelle: ThreatPost)


Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Über den Autor:

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Sascha hat bereits 9399 Artikel geschrieben.