Pwn2Own 2013: Neue Sicherheitslücken in Chrome, Firefox, IE10 und Java entdeckt

Am ersten Tag des jährlichen Hackerwettbewerbs Pwn2Own, der diesmal im Rahmen der Sicherheitskonferenz CanSecWest im kanadischen Vancouver stattfindet, haben Sicherheitsforscher neue Schwachstellen in Chrome, Firefox und Internet Explorer 10 sowie im Browser-Plug-in Oracle Java aufgedeckt. Der Veranstalter, die HP-Tochter TippingPoint, zahlt den Findern dafür Belohnungen von bis zu 100.000 Dollar.

Das französische Sicherheitsunternehmen Vupen knackte als ersten Browser Microsofts Internet Explorer 10 unter Windows 8. Per Twitter teilte das Unternehmen mit, es habe auf einem Surface Pro mit Windows 8 die Sandbox des IE überwunden und die vollständige Kontrolle über das Betriebssystem übernommen.

Googles Browser Chrome, der in Vorbereitung auf Pwn2Own noch Anfang der Woche aktualisiert worden war, musste sich kurz darauf zwei Mitarbeitern von MWR InfoSecurity geschlagen geben. Sie präsentierten eine Zero-Day-Lücke unter Windows 7. Es sei ausreichend, einen Nutzer auf eine präparierte Website zu locken, um Schadcode innerhalb der Sandbox des Browsers auszuführen. Mithilfe einer weiteren Kernel-Lücke in Windows 7 ließen sich beliebige Befehle dann auch außerhalb der Sandbox mit Systemrechten ausführen.

Vupen entdeckte schließlich auch eine neue Lücke in Mozillas Browser Firefox unter Windows 7. Für ihren Angriff kombinierten die Forscher einen Use-after-free-Bug mit einer „brandneuen Technik zur Umgehung von ASLR/DEP“ (Adress Space Layout Randomization/Date Execution Prevention). Dabei sei aber kein Return Oriented Programming (ROP) – eine sehr gebräuchliche Technik zur Ausnutzung von Sicherheitslücken – zum Einsatz gekommen. Den Wettbewerbsregeln entsprechend wurden die betroffenen Hersteller über die Anfälligkeiten informiert.

Oracles Java wurde am ersten Tag des Hackerwettbewerbs gleich dreimal geknackt. Vupen nutzte nach eigenen Angaben einen „Heap-Überlauf als Speicherleck zur Umgehung von ASLR und zur Codeausführung.“ Weitere Exploits wurden von Mitarbeitern von Accuvant Labs und Context Information Security demonstriert.

Nur Apples Safari unter Mac OS X Mountain Lion und die Plug-ins Adobe Flash sowie Adobe Reader unter Windows 7 überstanden den ersten Tag unbeschadet. Letztere wurden HP zufolge jedoch am zweiten Tag von Vupen sowie dem als Playstation- und iPhone-Hacker bekannt gewordenen George Hotz geknackt. Darüber hinaus legte ein Sicherheitsforscher namens Ben Murphy eine weitere Lücke in Oracles Java offen.

Google und Mozilla haben schon mit Updates für ihre Browser reagiert. Chrome-Nutzer erhalten ab sofort die aktualisierte Version 25.0.1364.160, die für Windows, Mac OS X und Linux zur Verfügung steht. Firefox 19.0.2 beseitigt die von Vupen entdeckte Schwachstelle, die einer Sicherheitsmeldung zufolge im HTML-Editor steckt.

In einem Interview mit ThreatPost sagte Chaouki Bekrar, CEO von Vupen, dass die Entwicklung von Exploits generell immer schwieriger werde. „Java ist wirklich einfach, weil es keine Sandbox gibt. Flash ist eine andere Sache. Es wird ständig aktualisiert und Adobe macht bei der Absicherung einen wirklich guten Job. Es ist viel teurer, einen Exploit für Flash zu schaffen, als für Java.“

Chrome sei aufgrund der Sandbox der am wenigsten angreifbare Browser. „Chromes schwacher Punkt ist WebKit und seine Stärke ist die Sandbox. Einer der Gründe, warum Chrome so sicher ist, ist wahrscheinlich, dass Google nicht einfach nur Anfälligkeiten behebt. Bei der Beseitigung von Techniken zur Umgehung der Sandbox zeigen sie Eigeninitiative.“

[mit Material von Steven J. Vaughan-Nichols, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.