Unsichere Kandidaten

Nikolay Okhitin, Fotolia.de
Nikolay Okhitin, Fotolia.de

Chrome gewinnt Hacking Contest

Kristian Kißling
23.03.2009 Auf der CanSecWest wurden beim Hacker-Wettbewerb PWN2OWN die Browser Safari, Internet Explorer 8 und Firefox erfolgreich gehackt, um Code auf den Systemen auszuführen. Lediglich Googles Chrome widerstand den Angriffen.

Der zweitägige PWN2OWN-Wettbewerb hat nur ein Ziel: Eine Anwendung so schnell wie möglich zu hacken, um darin eigenen Code auszuführen. Das Hacker-Turnier findet jährlich im Rahmen der CanSecWest statt, wobei Standard-PCs und Macs mit einer aktuellen Version der anvisierten Software laufen, die alle Sicherheitsupdates enthält. Diesmal sollten die Hacker drei voll gepatchte Browser hacken sowie fünf Mobilgeräte. Während sich niemand erfolgreich an die Mobilgeräte wagte, gaben fast alle Browser schnell klein bei.

In weniger als 10 Sekunden machte Charlie Miller zunächst ein MacBook mit dem Browser Safari auf und erntete dafür 5000 US-Dollar Preisgeld. Nachdem Jury-Mitglieder im Browser einen präparierten Link anklickten, konnte Miller dank einer undokumentierten Sicherheitslücke die Kontrolle über das System übernehmen.

Als nächstes gab der Internet Explorer 8 klein bei (ironischerweise fast parallel zu seinem offiziellen Start in Las Vegas) und folgte dem Schema des MacBooks. Ein deutscher Hacker namens Nils nutzte eine undokumentierte Sicherheitslücke, um den Windows-7-Unterbau unter seine Kontrolle zu bringen. Auch er verdiente 5000 US-Dollar mit der Aktion, die zugleich die erste bekannte Sicherheitslücke des Browsers ausnutzte. Zuvor hatte Microsofts Browser-Produktmanager Dean Hachamovitch in einem Vortrag noch die hohen Sicherheitsstandards des IE8 gelobt . (etwa die integrierte Data Execution Prevention und die Adress Space Layout Randomisation).

Doch auch beim Konkurrenten Firefox dürfte die Schadenfreude nur kurz angehalten haben: Hacker Nils machte sich im nächsten Schritt über den freien Browser her und konnte auch hier erfolgreich einen Zero-Day-Exploit anwenden.

Ungeschlagener Sieger des Tages blieb hingegen Googles Browser Chrome: Zwar konnte Charlie Miller eine Sicherheitslücke des Browsers entdecken. Die Sandbox aber, so gab er später zu, verhinderte eine erfolgreiche Ausbeutung der Lücke. Details über die genutzten Sicherheitslücken gibt es indes noch nicht: Die Veranstalterfirma TippingPoint erkauft sich mit dem Preisgeld quasi die Verschwiegenheit der Hacker und gibt die Informationen an die Hersteller der Browser weiter.

Ähnliche Artikel

Kommentare
Epiphany ?
LinuxMint (unangemeldet), Samstag, 28. März 2009 09:47:55
Ein/Ausklappen

Was ist mit Epiphany? Ein genialer Browser, der schnell und übersichtlich ist, mein Hauptbrowser !
Opera? Ne danke, zu buggy.


Bewertung: 181 Punkte bei 36 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
Opera?
Seraphyn Christian M. Grube, Montag, 23. März 2009 18:12:41
Ein/Ausklappen

Opera mein Standardbrowser ausser dillo,hv3, sowie link2 -g hätte mich nun interessiert.
Naja, ist auch Gut, immer auf die Großen;)
Gruss


Bewertung: 157 Punkte bei 38 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Opera?
freebirth one (unangemeldet), Dienstag, 24. März 2009 18:16:41
Ein/Ausklappen

Also,Opera hätte mich auf jeden Fall interessiert. Aber auch lynx, links2, w3m, elinks,... ;-) Sowas wird immer iwder gerne unter den Tisch fallen gelassen.


Bewertung: 133 Punkte bei 35 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Aktuelle Fragen

Start-Job behindert Bootvorgang, Suse 13.2, KDE,
Wimpy *, 20.02.2015 10:32, 4 Antworten
Beim Bootvorgang ist ein Timeout von 1 Min 30 Sec. weil eine Partition sdb1 gesucht und nicht gef...
Konfiguration RAID 1 mit 2 SSDs: Performance?
Markus Mertens, 16.02.2015 10:02, 4 Antworten
Hallo! Ich möchte bei einer Workstation (2x Xeon E5-2687Wv3, 256GB RAM) 2 SATA-SSDs (512GB) al...
Treiber für Canon Laserbase MF5650
Sven Bremer, 10.02.2015 09:46, 1 Antworten
Hallo ich weiß mittlerweile das Canon nicht der beste Drucker für ein Linux System ist. Trotzd...
Linux und W7 im Netz finden sich nicht
Oliver Zoffi, 06.02.2015 11:47, 3 Antworten
Hallo! Ich verwende 2 PCs, 1x mit W7prof 64 Bit und einmal mit Linux Mint 17 64 Bit, welches ich...
Rootpasswort
Jutta Naumann, 29.01.2015 09:14, 1 Antworten
Ich habe OpenSuse 13.2 installiert und leider nur das Systempasswort eingerichtet. Um Änderungen,...