Pwn2Own 2016: Kein Browser ist sicher
Seit 2007 wird Jahr für Jahr ein Preis-Wettbewerb auf der CanSecWest Security Conference veranstaltet, auf dem die gängigen Internet-Browser auf den Sicherheitsprüfstand gestellt werden. Auch 2016 war keine Ausnahme und auch in diesem Jahr wurden die Browser Safari, Google Chrome und Microsoft Edge zu Fall gebracht. Insgesamt 460.000 US-Dollar wurden dem „Sieger“ übergeben, der es schaffte, 21 Lücken in den drei Browsern sowie Windows, OS X und Flash aufzudecken.
Unter den drei getesteten Browsern stellte sich Google Chrome noch als bester heraus. Der Browser wurde in zwei Versuchen attackiert, wovon einer fehlschlug und einer nur teilweise erfolgreich zum Hack führte. Da dieser nicht vollständig durchgeführt werden konnte und zudem bereits öffentlich bekannt und bei Google dokumentiert wurde, gab es für den Hackversuch nicht die volle Punktzahl.
Microsofts Edge und Apples Safari Browser knickten bei den Attacken hingegen wie Streichhölzer ein. Zwei Hackversuche führten beim Edge zum Erfolg und bei Safari sogar drei. Unter all den 21 Sicherheitslücken, die über diverse Software aufgedeckt wurden, verteilten sich 6 auf Microsoft Windows (keine spezifische Version genannt), 5 auf Apple OS X, 4 auf Adobe Flash, 3 auf Apple Safari, 2 auf Microsoft Edge und eben einer auf Google Chrome, wobei dieser bereits bekannt war.
Irgendwie fehlt mir da Firefox… Spielt der keine Rolle mehr bei solchen Aktionen? Oder ist der nicht gängig?
lt. eweek wurde der Firefox nicht berücksichtigt da er nach Aussage der Veranstalter zu leicht zu knacken ist.
Firefox und Linux fehlt mir ebenfalls …
Linux ist auch zu leicht zu knacken.
Wie praxisrelevant ist denn sowas für den normalen Nutzer. Sollte man deswegen am Besten zu Chrome wechseln?
…wenn Firefox so leicht zu knacken ist, dann hätte man das ja mit entsprechenden erfolgreichen Versuchen untermauern können.
Oder gab es mit Firefox kein Geld zu verdienen?
Ich hätte erwartet, dass man die populärsten Browser antreten läßt.
Oder ist (international gesehen?) Firefox nur eine Randerscheinung?
Früher war Firefox auch dabei, schon komisch… Bin auf Mac und Linux mit Chrome unterwegs, Safari bzw. Firefox deinstalliert, Flash und so ein Zeug sind nicht drauf. Ein Chromebook in der Pipeline… Fühle mich bestätigt, alles gut!
2015 war FF noch dabei, wurde ebenfalls geknackt, anbei die Liste 2015.
The final cracked bug count came to:
5 bugs in the Windows operating system
4 bugs in Internet Explorer 11
3 bugs in Mozilla Firefox
3 bugs in Adobe Reader
3 bugs in Adobe Flash
2 bugs in Apple Safari
1 bug in Google Chrome
Windows-based targets:
Google Chrome (64-bit): $75,000
Microsoft Internet Explorer (IE) 11 (64-bit with Enhanced Protected Mode(EPM)-enabled): $65,000
Mozilla Firefox: $30,000
Adobe Reader running in Internet Explorer 11 (64-bit with EPM-enabled): $60,000
Adobe Flash (64-bit) running in Internet Explorer 11 (64-bit with EPM-enabled): $60,000
Mac OS X-based targets:
Apple Safari (64-bit): $50,000
@Tim nicht unbedingt. Wenn jeder zu Chrome wechselt, wäre Chrom auch das attraktivste Ziel und würde am meisten angegriffen werden. Dann wären in Prinzip andere sicherer.
Vielleicht weil Firefox (noch) kein Sandboxing hat?
Ist für mich z.B. einer der Hauptgründe Firefox nicht zu nutzen.
Wie gehabt ist alles von Apple offen wie ein Scheunentor.
Nichts Neues also.
Unter Windows nutze ich Opera 12.18 mit der bewährten Presto Engine, JS deaktiviert, kein Flash, Add on Ghostery ist installiert, AD Muncher filtert Werbung etc vorab.
Chrome ist für mich unbenutzbar, zuletzt von mir getestet vor 2 Jahren.
Gründe für die Unbenutzbarkeit von Chrome und anderen Webkit Browsern für mich:
1. Anlegen Cache auf Massenspeicher kann nicht deaktiviert werden.
2. Mehrere tausend Bookmarks umfassende Bookmarkbibliothek kann nicht sinnvoll genutzt werden.
3. Adresszeile kann nicht unten platziert werden.