Hacker spüren neue Zero-Day-Lücken in Safari, Firefox und IE8 auf

Am ersten Tag des Hackerwettbewerbs „Pwn2Own“ haben die Teilnehmer insgesamt vier bisher nicht veröffentlichte Sicherheitslücken in den Browsern Safari, Firefox und Internet Explorer 8 offengelegt. Charlie Miller, Sicherheitsanalyst von Independent Security Evaluators, benötigte nur etwa zehn Sekunden, um über eine Schwachstelle in Safari die Kontrolle über ein vollständig gepatchtes MacBook Air zu übernehmen.

Miller erklärte, er habe die Sicherheitslücke bereits im letzten Jahr entdeckt. Die Wettbewerbsregeln verbieten den Teilnehmern, Details zu den von ihnen gefundenen Schwachstellen zu veröffentlichen. Laut Miller reicht es jedoch aus, dass ein User auf einen manipulierten Link klickt.

Drei weitere Browserlücken hat ein 25-jähriger Student der Computerwissenschaften an der Universität Oldenburg aufgespürt. Je eine Schwachstelle betrifft den IE8, Firefox und Safari. Von den zur Auswahl stehenden Browsern widerstand damit bisher nur Google Chrome den Angriffen der Hacker.

Von Tipping Point, dem Sponsor des Wettbewerbs, erhalten die Teilnehmer für die Entdeckung jeder bisher unveröffentlichten Sicherheitslücke ein Preisgeld von 5000 Dollar. Als Bonus dürfen die Hacker die Notebooks behalten, auf denen sie die Fehler demonstriert haben. Miller hatte bereits im vergangenen Jahr an dem Wettbewerb teilgenommen und dabei ebenfalls eine Zero-Day-Lücke in Safari genutzt, um die Kontrolle über ein Apple-Notebook zu erlangen.

Neben Browsern wird im Rahmen des Wettbewerbs auch die Sicherheit von mobilen Betriebssystemen getestet. Am ersten Tag der dreitägigen Veransaltung war es jedoch keinem der Teilnehmer gelungen, eine Schwachstelle in Blackberry, Android, Symbian, Windows Mobile oder iPhone OS zu entdecken.

ZDNet.de Redaktion

Recent Posts

Google schließt zwei Zero-Day-Lücken in Android

Betroffen sind Android 12, 13, 14 und 15. Google sind zielgerichtete Angriffe auf die beiden…

17 Stunden ago

Gefährliche Weiterentwicklung der APT36-Malware ElizaRAT

Schadprogramm der pakistanischen Hackergruppe APT36 weitet seine Aktivitäten aus und verbessert seine Techniken.

22 Stunden ago

Google schließt weitere schwerwiegende Sicherheitslücken in Chrome 130

Tenable vergibt für beide Schwachstellen einen CVSS-Basis-Score von 9,8. Zwei Use-after-free-Bugs erlauben möglicherweise das Einschleusen…

24 Stunden ago

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

2 Tagen ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

3 Tagen ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

3 Tagen ago