Pwn2Own 2013: Neue Sicherheitslücken in Chrome, Firefox, IE10 und Java entdeckt

Am ersten Tag des jährlichen Hackerwettbewerbs Pwn2Own, der diesmal im Rahmen der Sicherheitskonferenz CanSecWest im kanadischen Vancouver stattfindet, haben Sicherheitsforscher neue Schwachstellen in Chrome, Firefox und Internet Explorer 10 sowie im Browser-Plug-in Oracle Java aufgedeckt. Der Veranstalter, die HP-Tochter TippingPoint, zahlt den Findern dafür Belohnungen von bis zu 100.000 Dollar.

Das französische Sicherheitsunternehmen Vupen knackte als ersten Browser Microsofts Internet Explorer 10 unter Windows 8. Per Twitter teilte das Unternehmen mit, es habe auf einem Surface Pro mit Windows 8 die Sandbox des IE überwunden und die vollständige Kontrolle über das Betriebssystem übernommen.

Googles Browser Chrome, der in Vorbereitung auf Pwn2Own noch Anfang der Woche aktualisiert worden war, musste sich kurz darauf zwei Mitarbeitern von MWR InfoSecurity geschlagen geben. Sie präsentierten eine Zero-Day-Lücke unter Windows 7. Es sei ausreichend, einen Nutzer auf eine präparierte Website zu locken, um Schadcode innerhalb der Sandbox des Browsers auszuführen. Mithilfe einer weiteren Kernel-Lücke in Windows 7 ließen sich beliebige Befehle dann auch außerhalb der Sandbox mit Systemrechten ausführen.

Vupen entdeckte schließlich auch eine neue Lücke in Mozillas Browser Firefox unter Windows 7. Für ihren Angriff kombinierten die Forscher einen Use-after-free-Bug mit einer „brandneuen Technik zur Umgehung von ASLR/DEP“ (Adress Space Layout Randomization/Date Execution Prevention). Dabei sei aber kein Return Oriented Programming (ROP) – eine sehr gebräuchliche Technik zur Ausnutzung von Sicherheitslücken – zum Einsatz gekommen. Den Wettbewerbsregeln entsprechend wurden die betroffenen Hersteller über die Anfälligkeiten informiert.

Oracles Java wurde am ersten Tag des Hackerwettbewerbs gleich dreimal geknackt. Vupen nutzte nach eigenen Angaben einen „Heap-Überlauf als Speicherleck zur Umgehung von ASLR und zur Codeausführung.“ Weitere Exploits wurden von Mitarbeitern von Accuvant Labs und Context Information Security demonstriert.

Nur Apples Safari unter Mac OS X Mountain Lion und die Plug-ins Adobe Flash sowie Adobe Reader unter Windows 7 überstanden den ersten Tag unbeschadet. Letztere wurden HP zufolge jedoch am zweiten Tag von Vupen sowie dem als Playstation- und iPhone-Hacker bekannt gewordenen George Hotz geknackt. Darüber hinaus legte ein Sicherheitsforscher namens Ben Murphy eine weitere Lücke in Oracles Java offen.

Google und Mozilla haben schon mit Updates für ihre Browser reagiert. Chrome-Nutzer erhalten ab sofort die aktualisierte Version 25.0.1364.160, die für Windows, Mac OS X und Linux zur Verfügung steht. Firefox 19.0.2 beseitigt die von Vupen entdeckte Schwachstelle, die einer Sicherheitsmeldung zufolge im HTML-Editor steckt.

In einem Interview mit ThreatPost sagte Chaouki Bekrar, CEO von Vupen, dass die Entwicklung von Exploits generell immer schwieriger werde. „Java ist wirklich einfach, weil es keine Sandbox gibt. Flash ist eine andere Sache. Es wird ständig aktualisiert und Adobe macht bei der Absicherung einen wirklich guten Job. Es ist viel teurer, einen Exploit für Flash zu schaffen, als für Java.“

Chrome sei aufgrund der Sandbox der am wenigsten angreifbare Browser. „Chromes schwacher Punkt ist WebKit und seine Stärke ist die Sandbox. Einer der Gründe, warum Chrome so sicher ist, ist wahrscheinlich, dass Google nicht einfach nur Anfälligkeiten behebt. Bei der Beseitigung von Techniken zur Umgehung der Sandbox zeigen sie Eigeninitiative.“

[mit Material von Steven J. Vaughan-Nichols, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago