Am zweiten und letzten Tag des Hackerwettbewerbs Pwn2Own haben Sicherheitsforscher neue Schwachstellen in den Browsern Chrome und Safari aufgedeckt. Zudem gelang es ihnen erneut, die Sicherheitsvorkehrungen von Internet Explorer und Firefox zu überwinden. Der Mozilla-Browser war mit insgesamt vier neuen Lücken damit das beliebteste Ziel der Hacker.
Das französische Sicherheitsunternehmen Vupen zeigte gestern wie am Vortag angekündigt eine kritische Sicherheitslücke in Chrome und erhielt dafür laut ThreatPost ein Preisgeld von 100.000 Dollar. Nach Angaben des Veranstalters Hewlett-Packard ist es Vupen gelungen, mittels eines Use-after-free-Bugs, der die Browserengine Blink und auch die JavaScript-Engine V8 betrifft, Schadcode außerhalb der Sandbox auszuführen.
Ein Teilnehmer, der anonym bleiben wollte, demonstrierte einen weiteren Fehler in Chrome, der ebenfalls einen Sandbox-Bypass ermöglicht. Die Jury stufte den Exploit jedoch als unvollständig ein, weil er in Teilen auf einem Leck basiert, das ein anderer Forscher schon zuvor vorgeführt hatte.
Das aus China stammende Keen Team nahm sich Safari vor. Ein Heap-Überlauf und eine Lücke in der Sandbox des Apple-Browsers ermöglichte es ihm, beliebigen Code einzuschleusen und auszuführen. Dafür erhielt es ThreatPost zufolge 40.000 Dollar. Am ersten Tag des Wettbewerbs war es bereits mit einem Leck in Adobes Flash Player erfolgreich, das ihm 75.000 Dollar eingebracht hatte.
Die deutschen Forscher Sebastian Appelt und Andreas Schmidt, Inhaber des Beratungsunternehmens Siberas, kombinierten zwei Use-after-free-Bugs in Internet Explorer mit einem Kernel-Fehler, um die Sandbox des Browsers zu umgehen. Als Beweis starteten sie mithilfe ihres Exploits den Taschenrechner von Windows 8.1.
Der auch als „PlayStation-Hacker“ bekannt gewordene George Hotz knackte erneut den Mozilla-Browser Firefox. Ihm reichte ein Out-of-bounds-Fehler, um unter einem vollständig gepatchten Windows 8.1 Code auszuführen.
„Am zweiten und letzten Tag von Pwn2Own 2014 haben wir erfolgreiche Angriffe von sieben Teilnehmern gegen fünf Produkte gesehen“, schreibt HP in einem Blogeintrag. Die Forscher hätten dafür 450.000 Dollar erhalten. „Das bringt die Gesamtsumme von zwei Tagen auf 850.000 Dollar.“ Darin seien Spenden und der Wert der gehackten Laptops, die die Teilnehmer behalten durften, nicht enthalten. Insgesamt hatte HP ein Preisgeld von rund 1,1 Millionen Dollar ausgelobt.
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Malware-Kampagne nutzt Beliebtheit von KI-Tools aus und tarnt sich als KI-Stimmengenerator und wird über Phishing-Webseiten…
Christoph Schuhwerk, CISO EMEA bei Zscaler, über den Einfluss von KI auf den permanenten Wettlauf…
Von ihr geht ein hohes Risiko aus. Laut Google ist ein Exploit für die Chrome…
Kaspersky stellt eine hohe Nachfrage nach datenstehlender Malware in kriminellen Kreisen fest. Die Infostealer sind…
Neue Funktion in GoTo Resolve schützt Nutzer von Mobilgeräten vor Finanzbetrug, indem sie Support-Sitzungen überwacht…
Es ist das erste Plus seit dem dritten Quartal 2021. Die Marktforscher von Counterpoint rechnen…
