Hacker spüren neue Zero-Day-Lücken in Safari, Firefox und IE8 auf

Am ersten Tag des Hackerwettbewerbs „Pwn2Own“ haben die Teilnehmer insgesamt vier bisher nicht veröffentlichte Sicherheitslücken in den Browsern Safari, Firefox und Internet Explorer 8 offengelegt. Charlie Miller, Sicherheitsanalyst von Independent Security Evaluators, benötigte nur etwa zehn Sekunden, um über eine Schwachstelle in Safari die Kontrolle über ein vollständig gepatchtes MacBook Air zu übernehmen.

Miller erklärte, er habe die Sicherheitslücke bereits im letzten Jahr entdeckt. Die Wettbewerbsregeln verbieten den Teilnehmern, Details zu den von ihnen gefundenen Schwachstellen zu veröffentlichen. Laut Miller reicht es jedoch aus, dass ein User auf einen manipulierten Link klickt.

Drei weitere Browserlücken hat ein 25-jähriger Student der Computerwissenschaften an der Universität Oldenburg aufgespürt. Je eine Schwachstelle betrifft den IE8, Firefox und Safari. Von den zur Auswahl stehenden Browsern widerstand damit bisher nur Google Chrome den Angriffen der Hacker.

Von Tipping Point, dem Sponsor des Wettbewerbs, erhalten die Teilnehmer für die Entdeckung jeder bisher unveröffentlichten Sicherheitslücke ein Preisgeld von 5000 Dollar. Als Bonus dürfen die Hacker die Notebooks behalten, auf denen sie die Fehler demonstriert haben. Miller hatte bereits im vergangenen Jahr an dem Wettbewerb teilgenommen und dabei ebenfalls eine Zero-Day-Lücke in Safari genutzt, um die Kontrolle über ein Apple-Notebook zu erlangen.

Neben Browsern wird im Rahmen des Wettbewerbs auch die Sicherheit von mobilen Betriebssystemen getestet. Am ersten Tag der dreitägigen Veransaltung war es jedoch keinem der Teilnehmer gelungen, eine Schwachstelle in Blackberry, Android, Symbian, Windows Mobile oder iPhone OS zu entdecken.