Pwn2Own: Hacker zeigen Zero-Day-Lücken in Windows, IE, Flash, Safari und Chrome

Sicherheitsforscher haben auf dem von der HP-Tochter Zero Day Initiative (ZDI) veranstalteten Hackerwettbewerb Pwn2Own 21 Zero-Day-Lücken präsentiert. Die Fehler stecken in Microsoft Windows und Internet Explorer 11, Mozilla Firefox, Apple Safari, Google Chrome sowie den Adobe-Anwendungen Reader und Flash Player. ZDI zahlte den Entdeckern der Schwachstellen eine Belohnung von insgesamt 557.500 Dollar.

Der erste Tag der zweitägigen Veranstaltung begann mit den Hackergruppen Team509 und Keen Team, die mithilfe spezieller TrueType-Schriften (TTF) einen Heap Overflow in Flash Player auslösten und die Kontrolle über einen Windows-Rechner übernahmen. Dabei umgingen sie alle Sicherheitsvorkehrungen der Adobe-Software und des Microsoft-Betriebssystems. Dafür erhielten sie 85.000 Dollar.

Der Sicherheitsforscher Nicolas Joly kassierte für ein weiteres Loch in Flash Player 30.000 Dollar. Er kombinierte für seinen Angriff einen Use-after-Free-Bug mit einer Directory-Traversal-Anfälligkeit, um ebenfalls Schadcode außerhalb der Sandbox der Anwendung auszuführen. Danach zeigte er einen Pufferüberlauf in Adobe Reader, der es ihm ermöglichte, Informationen auszulesen und Code auszuführen. Zusammen mit einem weiteren Integer-Überlauf in Adobe Reader brachten ihm die Bugs in der PDF-Anwendung ein Preisgeld von insgesamt 60.000 Dollar ein.

Auch das Keen Team widmete sich am ersten Tag dem Adobe Reader und nutzte einen anderen TTF-Bug, um vollständigen Systemzugriff zu erhalten, was ZDI mit 55.000 Dollar belohnte. Innerhalb von nur etwa einer halben Sekunde gelang es Mariusz Mlynski mittels einer Cross-Origin-Schwachstelle in Firefox die Kontrolle über ein vollständig gepatchtes Windows zu übernehmen. Auch hierfür gab es eine Prämie von 55.000 Dollar. Den ersten Tag beendete schließlich das Team 360Vulcan mit einem Exploit für Internet Explorer 64-Bit, wofür ZDI 32.500 Dollar ausschüttete.

Zu Beginn des zweiten Tags gingen 15.000 Dollar an einen Hacker namens ilxu1a. Er demonstrierte einen Out-of-bounds-read/write-Bug in Firefox.

Ihm folgte JungHoon Lee, der sich selbst „lokihardt“ nennt und gleich drei Schwachstellen vorführte. Sein erster Angriff richtete sich gegen IE 64-Bit. Danach nutzte er einen Pufferüberlauf in Chrome zusammen mit zwei Fehlern im Windows-Kernel, was ihm alleine 110.000 Dollar einbrachte – 10.000 Dollar davon kamen von Google. In Apples Browser Safari steckt ihm zufolge zudem ein Use-after-free-Bug, der es ebenfalls erlaubt, Code außerhalb der Sandbox auszuführen. Für alle Fehler zusammen kassierte er ein Rekordpreisgeld von 225.000 Dollar.

Schließlich versuchte auch ilxu1a einen Fehler in Google Chrome auszunutzen, was er allerdings nicht in der zur Verfügung stehenden Zeit schaffte.

Mozilla hat am Freitag beziehungsweise Samstag zwei Updates für seinen Browser veröffentlicht. Sie enthalten Fixes für zwei der drei während Pwn2Own gezeigten Fehler. Das am Donnerstag bereitgestellte Update für Chrome 41, zu dem Google keine weiteren Angaben macht, sollte jedoch keine Pwn2Own-Lücke schließen, weil diese erst tags darauf präsentiert wurde.

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.