Google schließt drei weitere Zero-Day-Lücken in Chrome 17

Ein anonymer Hacker hat sie zu einem Exploit verknüpft und umgeht damit die Sandbox des Browsers. Dafür gewinnt er beim Wettbewerb Pwnium 60.000 Dollar. Die Löcher stopft Google erneut in weniger als 24 Stunden.

Google hat Ende vergangener Woche drei weitere Zero-Day-Lücken in Chrome 17 geschlossen. Entdeckt wurden sie von einem Hacker, der sich „Pinkie Pie“ nennt und unerkannt bleiben will, weil er ohne Zustimmung seines Arbeitgebers an Googles Wettbewerb Pwnium teilgenommen hat.

Nach Angaben eines Vertreters des Suchriesen handelt es sich bei Pinkie Pie um ein „bekannten und respektierten Sicherheitsforscher“. Der Hacker selbst gab an, er habe noch nie eine Schwachstelle an Google gemeldet oder den Verkauf von Informationen über Anfälligkeiten in Betracht gezogen.

Der Hacker namens Pinkie Pie will unerkannt bleiben (Bild: ZDNet).
Der Hacker namens Pinkie Pie will unerkannt bleiben (Bild: ZDNet).

Er habe rund eineinhalb Wochen benötigt, um die drei Fehler zu finden und einen Exploit zu entwickeln, der die Sandbox des Google-Browsers umgehen kann, sagte Pinkie Pie in einem Interview. Den Exploit, der Drive-by-Downloads ermöglicht, demonstrierte er auf einem Rechner mit einem vollständig gepatchten Windows 7. Google zahlt ihm dafür ein Preisgeld von 60.000 Dollar.

Der einfachste Teil seines Angriffs sei das Umgehen der Sandbox gewesen, was bei Chrome grundsätzlich nur selten vorkomme, sagte der Sicherheitsforscher. „Ich hatte Glück, weil ich sehr früh einen Weg gefunden habe, die Sandbox zu verlassen. Ich habe das herausgefunden, als ich sie mir sehr genau angesehen habe.“

Den Versionshinweisen zufolge behebt Chrome 17.0.963.79 einen Speicherfehler im GPU-Prozess beim Laden von Plug-ins. Die neue Version, die das Loch stopft, steht für Windows, Mac OS X, Linux und Chrome Frame zur Verfügung.

Google hatte den Pwnium-Wettbewerb als Alternative zu Pwn2Own 2012 ausgerufen und ein Preisgeld von insgesamt einer Million Dollar ausgelobt. Der Hauptpreis von 60.000 Dollar für einen „vollständigen Chrome-Exploits“ zur Übernahme eines Benutzerkontos mit Chrome unter Windows 7 wurde in den drei Tagen der Veranstaltung insgesamt zweimal vergeben: Am ersten Tag an Sergej Glazunow und am dritten Tag an Pinkie Pie. In beiden Fällen stopfte Google die Sicherheitslöcher in weniger als 24 Stunden mit einem Update für Chrome.

Download:

[mit Material von Ryan Naraine, ZDNet.com]

Themenseiten: Browser, Chrome, Google, Hacker

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Google schließt drei weitere Zero-Day-Lücken in Chrome 17

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *