Am ersten Tag des Hackerwettbewerbs Pwn2Own, der wie jedes Jahr im Rahmen der Konferenz CanSecWest stattfindet, haben Sicherheitsforscher zuvor unbekannte Schwachstellen in Internet Explorer, Firefox, Adobe Flash Player und Adobe Reader präsentiert. Vom Veranstalter Hewlett-Packard erhielten sie dafür Preisgelder in Höhe von 400.000 Dollar.
Das französische Unternehmen Vupen demonstrierte gleich vier Lücken. Eine Schwachstelle in Adobe Reader XI kann demnach benutzt werden, um Schadcode außerhalb der Sandbox der PDF-Anwendung auszuführen. Danach zeigte Vupen zwei Use-after-free-Bugs in Internet Explorer und Firefox. Im Fall des Microsoft-Browsers ist es laut HP sogar möglich, die integrierte Sandbox zu umgehen.
Ein weiterer ungepatchter Use-after-free-Bug steckt Vupen zufolge in Adobe Flash Player. Seinen Exploit richtete das Unternehmen gegen das in Internet Explorer 11 integrierte Flash-Plug-in. Auch hier war es den Forschern möglich, Code an der Sandbox vorbei einzuschleusen und auszuführen. Für die vier Schwachstellen erhielt es eine Belohnung von insgesamt 300.000 Dollar.
Neben Vupen waren auch die Sicherheitsforscher Jüri Aedla und Mariusz Mlynski erfolgreich. Beide führten Schwachstellen in Firefox vor. Letzterer kombinierte zwei Fehler im Mozilla-Browser, um höhere Benutzerrechte zu erhalten und anschließend Sicherheitsmaßnahmen des Browsers zu umgehen.
Alle Schwachstellen wurden unter einem vollständig gepatchten Windows 8.1 64-Bit demonstriert. „Es wird definitiv schwerer, Browser anzugreifen, besonders unter Windows 8.1“, zitiert Threatpost Chaouki Bekrar, Gründer von Vupen. Es sei schwieriger geworden, Schwachstellen zu finden und auch sie auszunutzen. Die sicherste Sandbox besitze derzeit Google Chrome.
Für heute hat Vupen laut Threadpost einen Exploit für eine Zero-Day-Lücke in Chrome angekündigt, der den französischen Experten weitere 100.000 Dollar einbringen könnte. Zudem haben sich Vupen und eine Gruppe namens Keen Team angemeldet, um gemeinsam den Apple-Browser Safari zu hacken.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
