Am zweiten und letzten Tag des Hackerwettbewerbs Pwn2Own haben Sicherheitsforscher neue Schwachstellen in den Browsern Chrome und Safari aufgedeckt. Zudem gelang es ihnen erneut, die Sicherheitsvorkehrungen von Internet Explorer und Firefox zu überwinden. Der Mozilla-Browser war mit insgesamt vier neuen Lücken damit das beliebteste Ziel der Hacker.
Das französische Sicherheitsunternehmen Vupen zeigte gestern wie am Vortag angekündigt eine kritische Sicherheitslücke in Chrome und erhielt dafür laut ThreatPost ein Preisgeld von 100.000 Dollar. Nach Angaben des Veranstalters Hewlett-Packard ist es Vupen gelungen, mittels eines Use-after-free-Bugs, der die Browserengine Blink und auch die JavaScript-Engine V8 betrifft, Schadcode außerhalb der Sandbox auszuführen.
Ein Teilnehmer, der anonym bleiben wollte, demonstrierte einen weiteren Fehler in Chrome, der ebenfalls einen Sandbox-Bypass ermöglicht. Die Jury stufte den Exploit jedoch als unvollständig ein, weil er in Teilen auf einem Leck basiert, das ein anderer Forscher schon zuvor vorgeführt hatte.
Das aus China stammende Keen Team nahm sich Safari vor. Ein Heap-Überlauf und eine Lücke in der Sandbox des Apple-Browsers ermöglichte es ihm, beliebigen Code einzuschleusen und auszuführen. Dafür erhielt es ThreatPost zufolge 40.000 Dollar. Am ersten Tag des Wettbewerbs war es bereits mit einem Leck in Adobes Flash Player erfolgreich, das ihm 75.000 Dollar eingebracht hatte.
Die deutschen Forscher Sebastian Appelt und Andreas Schmidt, Inhaber des Beratungsunternehmens Siberas, kombinierten zwei Use-after-free-Bugs in Internet Explorer mit einem Kernel-Fehler, um die Sandbox des Browsers zu umgehen. Als Beweis starteten sie mithilfe ihres Exploits den Taschenrechner von Windows 8.1.
Der auch als „PlayStation-Hacker“ bekannt gewordene George Hotz knackte erneut den Mozilla-Browser Firefox. Ihm reichte ein Out-of-bounds-Fehler, um unter einem vollständig gepatchten Windows 8.1 Code auszuführen.
„Am zweiten und letzten Tag von Pwn2Own 2014 haben wir erfolgreiche Angriffe von sieben Teilnehmern gegen fünf Produkte gesehen“, schreibt HP in einem Blogeintrag. Die Forscher hätten dafür 450.000 Dollar erhalten. „Das bringt die Gesamtsumme von zwei Tagen auf 850.000 Dollar.“ Darin seien Spenden und der Wert der gehackten Laptops, die die Teilnehmer behalten durften, nicht enthalten. Insgesamt hatte HP ein Preisgeld von rund 1,1 Millionen Dollar ausgelobt.
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
