Teilnehmer des Hackerwettbewerbs Pwn2Own 2011, der derzeit in Kanada als Teil der Sicherheitskonferenz CanSecWest stattfindet, haben zwei neue Zero-Day-Lücken in Safari und Internet Explorer 8 demonstriert. In beiden Fällen ist es möglich, die Kontrolle über ein ungepatchtes System zu übernehmen. Ein Angreifer muss sein Opfer dafür nur auf eine manipulierte Seite locken.
Zuerst demonstrierte Chaouki Bekrar, Gründer des französischen Sicherheitsanbieters Vupen, eine Anfälligkeit in Safari unter einer vollständig gepatchten Version von Mac OS 10.6 Snow Leopard. Die Lücke stecke in der Browser-Engine WebKit, sagte Bekrar im Gespräch mit ZDNet. Drei Forscher hätten etwa zwei Wochen benötigt, um den Fehler zu finden und einen funktionierenden Exploit zu entwickeln.
Der irische Sicherheitsforscher Stephen Fewer, einer der Entwickler der Penetrationstest-Suite Metasploit, zeigte im Anschluss eine Schwachstelle in Internet Explorer 8 unter Windows 7 SP1 64-Bit. Genau wie Bekrar startete er als Beleg den Taschenrechner des Betriebssystems und legte eine Datei auf der Festplatte ab.
Fewer sagte, er habe für seine Präsentation eine Vorbereitungszeit von sechs Wochen benötigt. Sein Exploit basiere auf der Verknüpfung von insgesamt drei Schwachstellen. „Das wirklich Schwierige war, den Exploit zu schreiben. Dafür habe ich viel Zeit gebraucht.“
Beiden Sicherheitsforscher ist es gelungen, die in die Betriebssysteme eingebauten Sicherheitsfunktionen DEP (Datenausführungsverhinderung) und ASLR (Adress Space Layout Randomization) auszuhebeln, die die Ausführung von eingeschleustem Schadcode erschweren sollen. Fewer musste zusätzlich noch einen Weg finden, die Sandbox des Internet Explorer 8, den sogenannten geschützten Modus, zu verlassen.
Diese Sicherheitstechnologien machten es schwieriger, Browserfehler auszunutzen, sagte Fewer. Ein gut motivierter Angreifer, dem ausreichend Ressourcen zur Verfügung stünden, werde aber möglicherweise immer einen Weg finden, einen Exploit zu entwickeln. „Wenn man lange genug nach Fehlern sucht, dann findet man auch etwas.“
Technische Details über die Anfälligkeiten wurden nicht veröffentlicht. Die Rechte an den Lücken liegen bei der HP-Tochter TippingPoint, die Hauptsponsor der Veranstaltung ist.
Für die von ihnen entdeckten Sicherheitslücken erhielten Bekrar und Fewer jeweils ein Preisgeld von 15.000 Dollar. Zudem dürfen beide die Geräte behalten, auf denen die Exploits vorgeführt wurden: Bekrar bekommt ein neues Apple MacBook Air 13 Zoll, Fewer einen Laptop mit Windows 7.
Voraussichtlich werden bis zum Abschluss des Wettbewerbs am Freitag weitere neue Schwachstellen auftauchen. Neben Internet Explorer und Safari stehen den Teilnehmern auch Mozilla Firefox und Google Chrome zur Verfügung. Unter anderem kündigte Vupen an, es wolle ebenfalls ein Loch im IE8 unter Windows 7 zeigen.
Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…
Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…
Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.
Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…
Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…
Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…