Unsichere Kandidaten

Nikolay Okhitin, Fotolia.de
Nikolay Okhitin, Fotolia.de

Chrome gewinnt Hacking Contest

Kristian Kißling
23.03.2009 Auf der CanSecWest wurden beim Hacker-Wettbewerb PWN2OWN die Browser Safari, Internet Explorer 8 und Firefox erfolgreich gehackt, um Code auf den Systemen auszuführen. Lediglich Googles Chrome widerstand den Angriffen.

Der zweitägige PWN2OWN-Wettbewerb hat nur ein Ziel: Eine Anwendung so schnell wie möglich zu hacken, um darin eigenen Code auszuführen. Das Hacker-Turnier findet jährlich im Rahmen der CanSecWest statt, wobei Standard-PCs und Macs mit einer aktuellen Version der anvisierten Software laufen, die alle Sicherheitsupdates enthält. Diesmal sollten die Hacker drei voll gepatchte Browser hacken sowie fünf Mobilgeräte. Während sich niemand erfolgreich an die Mobilgeräte wagte, gaben fast alle Browser schnell klein bei.

In weniger als 10 Sekunden machte Charlie Miller zunächst ein MacBook mit dem Browser Safari auf und erntete dafür 5000 US-Dollar Preisgeld. Nachdem Jury-Mitglieder im Browser einen präparierten Link anklickten, konnte Miller dank einer undokumentierten Sicherheitslücke die Kontrolle über das System übernehmen.

Als nächstes gab der Internet Explorer 8 klein bei (ironischerweise fast parallel zu seinem offiziellen Start in Las Vegas) und folgte dem Schema des MacBooks. Ein deutscher Hacker namens Nils nutzte eine undokumentierte Sicherheitslücke, um den Windows-7-Unterbau unter seine Kontrolle zu bringen. Auch er verdiente 5000 US-Dollar mit der Aktion, die zugleich die erste bekannte Sicherheitslücke des Browsers ausnutzte. Zuvor hatte Microsofts Browser-Produktmanager Dean Hachamovitch in einem Vortrag noch die hohen Sicherheitsstandards des IE8 gelobt . (etwa die integrierte Data Execution Prevention und die Adress Space Layout Randomisation).

Doch auch beim Konkurrenten Firefox dürfte die Schadenfreude nur kurz angehalten haben: Hacker Nils machte sich im nächsten Schritt über den freien Browser her und konnte auch hier erfolgreich einen Zero-Day-Exploit anwenden.

Ungeschlagener Sieger des Tages blieb hingegen Googles Browser Chrome: Zwar konnte Charlie Miller eine Sicherheitslücke des Browsers entdecken. Die Sandbox aber, so gab er später zu, verhinderte eine erfolgreiche Ausbeutung der Lücke. Details über die genutzten Sicherheitslücken gibt es indes noch nicht: Die Veranstalterfirma TippingPoint erkauft sich mit dem Preisgeld quasi die Verschwiegenheit der Hacker und gibt die Informationen an die Hersteller der Browser weiter.

Ähnliche Artikel

Kommentare
Epiphany ?
LinuxMint (unangemeldet), Samstag, 28. März 2009 09:47:55
Ein/Ausklappen

Was ist mit Epiphany? Ein genialer Browser, der schnell und übersichtlich ist, mein Hauptbrowser !
Opera? Ne danke, zu buggy.


Bewertung: 188 Punkte bei 34 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
Opera?
Seraphyn Christian M. Grube, Montag, 23. März 2009 18:12:41
Ein/Ausklappen

Opera mein Standardbrowser ausser dillo,hv3, sowie link2 -g hätte mich nun interessiert.
Naja, ist auch Gut, immer auf die Großen;)
Gruss


Bewertung: 163 Punkte bei 36 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Opera?
freebirth one (unangemeldet), Dienstag, 24. März 2009 18:16:41
Ein/Ausklappen

Also,Opera hätte mich auf jeden Fall interessiert. Aber auch lynx, links2, w3m, elinks,... ;-) Sowas wird immer iwder gerne unter den Tisch fallen gelassen.


Bewertung: 131 Punkte bei 32 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Aktuelle Fragen

Windows 8 startet nur mit externer Festplatte
Anne La, 10.09.2014 17:25, 4 Antworten
Hallo Leute, also, ich bin auf folgendes Problem gestoßen: Ich habe Ubuntu 14.04 auf meiner...
Videoüberwachung mit Zoneminder
Heinz Becker, 10.08.2014 17:57, 0 Antworten
Hallo, ich habe den ZONEMINDER erfolgreich installiert. Das Bild erscheint jedoch nicht,...
internes Wlan und USB-Wlan-Srick
Gerhard Blobner, 04.08.2014 15:20, 2 Antworten
Hallo Linux-Forum: ich bin ein neuer Linux-User (ca. 25 Jahre Windows) und bin von WIN 8 auf Mint...
Server antwortet mit falschem Namen
oin notna, 21.07.2014 19:13, 1 Antworten
Hallo liebe Community, Ich habe mit Apache einen Server aufgesetzt. Soweit, so gut. Im Heimnet...
o2 surfstick software für ubuntu?
daniel soltek, 15.07.2014 18:27, 1 Antworten
hallo zusammen, habe mir einen o2 surfstick huawei bestellt und gerade festgestellt, das der nic...