Am ersten Tag des Wettbewerbs Pwn2Own 2016, der derzeit im Rahmen der Sicherheitskonferenz CanSecWest im kanadischen Vancouver stattfindet, haben Hacker insgesamt 15 neue Sicherheitslücken präsentiert. Sie stecken unter anderem in Apple Safari, Adobe Flash Player, Google Chrome und Microsoft Windows. Die Veranstalter Trend Micro und Hewlett Packard Enterprise haben bisher an die Teilnehmer Belohnungen in Höhe von 282.500 Dollar ausgeschüttet.
80.000 Dollar erhielt indes das chinesische 360Vulcan Team. Es demonstrierte, wie mithilfe einer neuen Lücke im Flash Player und einem Use-after-free-Bug im Windows-Kernel beliebiger Code mit System-Rechten ausgeführt werden kann. 40.000 Dollar gab es für eine weitere Lücke in Safari, die, kombiniert mit einer Schwachstelle in einem „privilegierten Prozess“ von OS X einem Angreifer ebenfalls Root-Rechte verschafft. Sie gingen an das Tencent Security Team Shield.
Bei einem zweiten Auftritt verdiente sich das 360Vulcan Team weitere 52.500 Dollar. Diesmal diente Chrome als Einfallstor für Schadcode, den das Team auf einem vollständig gepatchten Rechner mit Windows 10 mit System-Rechten ausführte. Allerdings nutzten die Hacker für ihren Angriff auch zwei Use-after-free-Bugs im Flash Player sowie einen Use-after-free-Bug im Windows-Kernel. Die Chrome-Lücke ist Trend Micro zufolge allerdings Google schon bekannt.
Im Vergleich zu Festplatten glänzen SSDs mit einer höheren Leistung, geringerem Energieverbrauch und weniger Hitzeentwicklung. Die längere Lebensdauer unterstreicht Samsung zudem mit einer 10-jährigen Garantie für seine 850PRO-Serie.
Das Tencent Security Team Sniper präsentierte anschließend eine weitere Kombination aus Flash- und Windows-Kernel-Lücke. Auch in diesem Fall lässt sich Schadcode mit System-Rechten ausführen, was Trend Micro und HPE ein Preisgeld von 50.000 Dollar wert war. Ein abschließender Angriff des Tencent Xuanwu Lab auf Adobe Flash in Microsoft Edge scheiterte jedoch.
Erstmalig wird in diesem Jahr im Rahmen von Pwn2Own auch ein Master of Pwn ermittelt. Der „Gesamtsieger“ darf sich über weitere 25.000 Dollar Preisgeld freuen. Nach dem ersten Tag führt das 360Vulcan Team mit 25 Punkten vor Tencent Security Team Sniper mit 13 Punkten und JungHoon Lee und Tencent Security Team Shield mit jeweils 10 Punkten.
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
