Am zweiten und letzten Tag des Hackerwettbewerbs Pwn2Own haben Sicherheitsforscher neue Schwachstellen in den Browsern Chrome und Safari aufgedeckt. Zudem gelang es ihnen erneut, die Sicherheitsvorkehrungen von Internet Explorer und Firefox zu überwinden. Der Mozilla-Browser war mit insgesamt vier neuen Lücken damit das beliebteste Ziel der Hacker.
Das französische Sicherheitsunternehmen Vupen zeigte gestern wie am Vortag angekündigt eine kritische Sicherheitslücke in Chrome und erhielt dafür laut ThreatPost ein Preisgeld von 100.000 Dollar. Nach Angaben des Veranstalters Hewlett-Packard ist es Vupen gelungen, mittels eines Use-after-free-Bugs, der die Browserengine Blink und auch die JavaScript-Engine V8 betrifft, Schadcode außerhalb der Sandbox auszuführen.
Ein Teilnehmer, der anonym bleiben wollte, demonstrierte einen weiteren Fehler in Chrome, der ebenfalls einen Sandbox-Bypass ermöglicht. Die Jury stufte den Exploit jedoch als unvollständig ein, weil er in Teilen auf einem Leck basiert, das ein anderer Forscher schon zuvor vorgeführt hatte.
Das aus China stammende Keen Team nahm sich Safari vor. Ein Heap-Überlauf und eine Lücke in der Sandbox des Apple-Browsers ermöglichte es ihm, beliebigen Code einzuschleusen und auszuführen. Dafür erhielt es ThreatPost zufolge 40.000 Dollar. Am ersten Tag des Wettbewerbs war es bereits mit einem Leck in Adobes Flash Player erfolgreich, das ihm 75.000 Dollar eingebracht hatte.
Die deutschen Forscher Sebastian Appelt und Andreas Schmidt, Inhaber des Beratungsunternehmens Siberas, kombinierten zwei Use-after-free-Bugs in Internet Explorer mit einem Kernel-Fehler, um die Sandbox des Browsers zu umgehen. Als Beweis starteten sie mithilfe ihres Exploits den Taschenrechner von Windows 8.1.
Der auch als „PlayStation-Hacker“ bekannt gewordene George Hotz knackte erneut den Mozilla-Browser Firefox. Ihm reichte ein Out-of-bounds-Fehler, um unter einem vollständig gepatchten Windows 8.1 Code auszuführen.
„Am zweiten und letzten Tag von Pwn2Own 2014 haben wir erfolgreiche Angriffe von sieben Teilnehmern gegen fünf Produkte gesehen“, schreibt HP in einem Blogeintrag. Die Forscher hätten dafür 450.000 Dollar erhalten. „Das bringt die Gesamtsumme von zwei Tagen auf 850.000 Dollar.“ Darin seien Spenden und der Wert der gehackten Laptops, die die Teilnehmer behalten durften, nicht enthalten. Insgesamt hatte HP ein Preisgeld von rund 1,1 Millionen Dollar ausgelobt.
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
