Am ersten Tag des Hackerwettbewerbs Pwn2Own, der wie jedes Jahr im Rahmen der Konferenz CanSecWest stattfindet, haben Sicherheitsforscher zuvor unbekannte Schwachstellen in Internet Explorer, Firefox, Adobe Flash Player und Adobe Reader präsentiert. Vom Veranstalter Hewlett-Packard erhielten sie dafür Preisgelder in Höhe von 400.000 Dollar.
Das französische Unternehmen Vupen demonstrierte gleich vier Lücken. Eine Schwachstelle in Adobe Reader XI kann demnach benutzt werden, um Schadcode außerhalb der Sandbox der PDF-Anwendung auszuführen. Danach zeigte Vupen zwei Use-after-free-Bugs in Internet Explorer und Firefox. Im Fall des Microsoft-Browsers ist es laut HP sogar möglich, die integrierte Sandbox zu umgehen.
Ein weiterer ungepatchter Use-after-free-Bug steckt Vupen zufolge in Adobe Flash Player. Seinen Exploit richtete das Unternehmen gegen das in Internet Explorer 11 integrierte Flash-Plug-in. Auch hier war es den Forschern möglich, Code an der Sandbox vorbei einzuschleusen und auszuführen. Für die vier Schwachstellen erhielt es eine Belohnung von insgesamt 300.000 Dollar.
Neben Vupen waren auch die Sicherheitsforscher Jüri Aedla und Mariusz Mlynski erfolgreich. Beide führten Schwachstellen in Firefox vor. Letzterer kombinierte zwei Fehler im Mozilla-Browser, um höhere Benutzerrechte zu erhalten und anschließend Sicherheitsmaßnahmen des Browsers zu umgehen.
Alle Schwachstellen wurden unter einem vollständig gepatchten Windows 8.1 64-Bit demonstriert. „Es wird definitiv schwerer, Browser anzugreifen, besonders unter Windows 8.1“, zitiert Threatpost Chaouki Bekrar, Gründer von Vupen. Es sei schwieriger geworden, Schwachstellen zu finden und auch sie auszunutzen. Die sicherste Sandbox besitze derzeit Google Chrome.
Für heute hat Vupen laut Threadpost einen Exploit für eine Zero-Day-Lücke in Chrome angekündigt, der den französischen Experten weitere 100.000 Dollar einbringen könnte. Zudem haben sich Vupen und eine Gruppe namens Keen Team angemeldet, um gemeinsam den Apple-Browser Safari zu hacken.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
