Am ersten Tag des Hackerwettbewerbs Pwn2Own, der wie jedes Jahr im Rahmen der Konferenz CanSecWest stattfindet, haben Sicherheitsforscher zuvor unbekannte Schwachstellen in Internet Explorer, Firefox, Adobe Flash Player und Adobe Reader präsentiert. Vom Veranstalter Hewlett-Packard erhielten sie dafür Preisgelder in Höhe von 400.000 Dollar.
Das französische Unternehmen Vupen demonstrierte gleich vier Lücken. Eine Schwachstelle in Adobe Reader XI kann demnach benutzt werden, um Schadcode außerhalb der Sandbox der PDF-Anwendung auszuführen. Danach zeigte Vupen zwei Use-after-free-Bugs in Internet Explorer und Firefox. Im Fall des Microsoft-Browsers ist es laut HP sogar möglich, die integrierte Sandbox zu umgehen.
Ein weiterer ungepatchter Use-after-free-Bug steckt Vupen zufolge in Adobe Flash Player. Seinen Exploit richtete das Unternehmen gegen das in Internet Explorer 11 integrierte Flash-Plug-in. Auch hier war es den Forschern möglich, Code an der Sandbox vorbei einzuschleusen und auszuführen. Für die vier Schwachstellen erhielt es eine Belohnung von insgesamt 300.000 Dollar.
Neben Vupen waren auch die Sicherheitsforscher Jüri Aedla und Mariusz Mlynski erfolgreich. Beide führten Schwachstellen in Firefox vor. Letzterer kombinierte zwei Fehler im Mozilla-Browser, um höhere Benutzerrechte zu erhalten und anschließend Sicherheitsmaßnahmen des Browsers zu umgehen.
Alle Schwachstellen wurden unter einem vollständig gepatchten Windows 8.1 64-Bit demonstriert. „Es wird definitiv schwerer, Browser anzugreifen, besonders unter Windows 8.1“, zitiert Threatpost Chaouki Bekrar, Gründer von Vupen. Es sei schwieriger geworden, Schwachstellen zu finden und auch sie auszunutzen. Die sicherste Sandbox besitze derzeit Google Chrome.
Für heute hat Vupen laut Threadpost einen Exploit für eine Zero-Day-Lücke in Chrome angekündigt, der den französischen Experten weitere 100.000 Dollar einbringen könnte. Zudem haben sich Vupen und eine Gruppe namens Keen Team angemeldet, um gemeinsam den Apple-Browser Safari zu hacken.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…
Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…
Das operative Ergebnis wächst um fast 6 Billionen Won auf 6,64 Billionen Won. Die Gewinne…
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…
