Pwn2Own: Hacker knacken auch Chrome und Safari

Am zweiten und letzten Tag des Hackerwettbewerbs Pwn2Own haben Sicherheitsforscher neue Schwachstellen in den Browsern Chrome und Safari aufgedeckt. Zudem gelang es ihnen erneut, die Sicherheitsvorkehrungen von Internet Explorer und Firefox zu überwinden. Der Mozilla-Browser war mit insgesamt vier neuen Lücken damit das beliebteste Ziel der Hacker.

Das französische Sicherheitsunternehmen Vupen zeigte gestern wie am Vortag angekündigt eine kritische Sicherheitslücke in Chrome und erhielt dafür laut ThreatPost ein Preisgeld von 100.000 Dollar. Nach Angaben des Veranstalters Hewlett-Packard ist es Vupen gelungen, mittels eines Use-after-free-Bugs, der die Browserengine Blink und auch die JavaScript-Engine V8 betrifft, Schadcode außerhalb der Sandbox auszuführen.

Ein Teilnehmer, der anonym bleiben wollte, demonstrierte einen weiteren Fehler in Chrome, der ebenfalls einen Sandbox-Bypass ermöglicht. Die Jury stufte den Exploit jedoch als unvollständig ein, weil er in Teilen auf einem Leck basiert, das ein anderer Forscher schon zuvor vorgeführt hatte.

Das aus China stammende Keen Team nahm sich Safari vor. Ein Heap-Überlauf und eine Lücke in der Sandbox des Apple-Browsers ermöglichte es ihm, beliebigen Code einzuschleusen und auszuführen. Dafür erhielt es ThreatPost zufolge 40.000 Dollar. Am ersten Tag des Wettbewerbs war es bereits mit einem Leck in Adobes Flash Player erfolgreich, das ihm 75.000 Dollar eingebracht hatte.

Die deutschen Forscher Sebastian Appelt und Andreas Schmidt, Inhaber des Beratungsunternehmens Siberas, kombinierten zwei Use-after-free-Bugs in Internet Explorer mit einem Kernel-Fehler, um die Sandbox des Browsers zu umgehen. Als Beweis starteten sie mithilfe ihres Exploits den Taschenrechner von Windows 8.1.

Der auch als „PlayStation-Hacker“ bekannt gewordene George Hotz knackte erneut den Mozilla-Browser Firefox. Ihm reichte ein Out-of-bounds-Fehler, um unter einem vollständig gepatchten Windows 8.1 Code auszuführen.

„Am zweiten und letzten Tag von Pwn2Own 2014 haben wir erfolgreiche Angriffe von sieben Teilnehmern gegen fünf Produkte gesehen“, schreibt HP in einem Blogeintrag. Die Forscher hätten dafür 450.000 Dollar erhalten. „Das bringt die Gesamtsumme von zwei Tagen auf 850.000 Dollar.“ Darin seien Spenden und der Wert der gehackten Laptops, die die Teilnehmer behalten durften, nicht enthalten. Insgesamt hatte HP ein Preisgeld von rund 1,1 Millionen Dollar ausgelobt.

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago