Am ersten Tag des Hackerwettbewerbs Pwn2Own, der wie jedes Jahr im Rahmen der Konferenz CanSecWest stattfindet, haben Sicherheitsforscher zuvor unbekannte Schwachstellen in Internet Explorer, Firefox, Adobe Flash Player und Adobe Reader präsentiert. Vom Veranstalter Hewlett-Packard erhielten sie dafür Preisgelder in Höhe von 400.000 Dollar.
Das französische Unternehmen Vupen demonstrierte gleich vier Lücken. Eine Schwachstelle in Adobe Reader XI kann demnach benutzt werden, um Schadcode außerhalb der Sandbox der PDF-Anwendung auszuführen. Danach zeigte Vupen zwei Use-after-free-Bugs in Internet Explorer und Firefox. Im Fall des Microsoft-Browsers ist es laut HP sogar möglich, die integrierte Sandbox zu umgehen.
Ein weiterer ungepatchter Use-after-free-Bug steckt Vupen zufolge in Adobe Flash Player. Seinen Exploit richtete das Unternehmen gegen das in Internet Explorer 11 integrierte Flash-Plug-in. Auch hier war es den Forschern möglich, Code an der Sandbox vorbei einzuschleusen und auszuführen. Für die vier Schwachstellen erhielt es eine Belohnung von insgesamt 300.000 Dollar.
Neben Vupen waren auch die Sicherheitsforscher Jüri Aedla und Mariusz Mlynski erfolgreich. Beide führten Schwachstellen in Firefox vor. Letzterer kombinierte zwei Fehler im Mozilla-Browser, um höhere Benutzerrechte zu erhalten und anschließend Sicherheitsmaßnahmen des Browsers zu umgehen.
Alle Schwachstellen wurden unter einem vollständig gepatchten Windows 8.1 64-Bit demonstriert. „Es wird definitiv schwerer, Browser anzugreifen, besonders unter Windows 8.1“, zitiert Threatpost Chaouki Bekrar, Gründer von Vupen. Es sei schwieriger geworden, Schwachstellen zu finden und auch sie auszunutzen. Die sicherste Sandbox besitze derzeit Google Chrome.
Für heute hat Vupen laut Threadpost einen Exploit für eine Zero-Day-Lücke in Chrome angekündigt, der den französischen Experten weitere 100.000 Dollar einbringen könnte. Zudem haben sich Vupen und eine Gruppe namens Keen Team angemeldet, um gemeinsam den Apple-Browser Safari zu hacken.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…
Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…
Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.
Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…
Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…
Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…
