Pwn2Own-Wettbewerb Hacker knacken Chrome, Firefox und Internet-Explorer

Alle Vorkehrungen haben nichts genützt: Sicherheitsforscher haben auf einer Konferenz Angriffe auf aktuelle Windows-Browser vorgeführt. Auch die Sandbox-Technik von Microsofts Internet Explorer und Googles Chrome schützte nicht vor den Hackern.
Internet Explorer 9: Lässt sich durch Ausnutzen einer Lücke zur Rechnerübernahme nutzen

Internet Explorer 9: Lässt sich durch Ausnutzen einer Lücke zur Rechnerübernahme nutzen

Die aktuellen Versionen der Web-Browser von Microsoft, Mozilla und Google weisen Sicherheitslücken auf, mit denen sich Programmierbefehle auf fremde Rechner einschleusen lassen. Präsentiert wurden die bis dahin unbekannten Lücken, die sogenannten Zero-Day-Exploits, im Rahmen der jährlichen IT-Sicherheitskonferenz CanSecWest  im kanadischen Vancouver.

Dort wird der Pwn2Own-Wettbewerb abgehalten, bei dem insgesamt 60.000 Dollar Preisgeld für Browser-Schwachstellen ausgeschüttet werden. Zum Teil nutzten die Sicherheitsforscher mehrere Lücken gleichzeitig, um die Schutzmechanismen von Browsern und Betriebssystem auszuhebeln.

Dieser Aufwand war unter anderem nötig, weil Internet Explorer und Chrome nach außen abgeriegelte Umgebungen, sogenannte Sandboxes (Sandkästen), für den Code von Websites erzeugen. So soll verhindert werden, dass über eine verseuchte Web-Seite eingschleuste Schadprogramme auf Funktionen des Betriebssystems zugreifen können.

Den Vorkehrungen der Hersteller zum Trotz gelang es Teilnehmern des Wettbewerbs, folgende Browser zu knacken:

  • Firefox 10.0.2 auf Windows 7 mit Service Pack 1: Willem Pinckaers und Vincenzo Iozzo nutzten laut ZDNet  eine Sicherheitslücke dreimal nacheinander, um Code über den Browser auszuführen. Auch die Windows-Schutztechniken DEP und ALSR halfen nicht gegen den Angriff.
  • Internet Explorer 9 auf Windows 7: Das Team Vupen kombinierte zwei Zero-Day-Exploits, berichtet Heise . Mit Hilfe einer präparierten Website ließe sich beispielsweise Spionagesoftware auf einem fremden Rechner installieren. Die Lücke soll auch in früheren Versionen sowie in der Beta des Internet Explorer 10 unter Windows 8 bestehen. Das Unternehmen Vupen verdient unter anderem an Zero-Day-Exploits, die sie an Behörden verkauft.
  • Chrome 17 auf Windows 7: Das Team Vupen knackte bereits am Donnerstag Googles Browser mit Hilfe zweier Zero-Day-Exploits. Schon im Mai hatte Vupen mit einem Chrome-Hack geworben. Googles Browser gilt eigentlich als besonders sicher.

Bereits zuvor war es dem Sicherheitsforscher Sergey Glazunov gelungen, bei einem ebenfalls auf der CanSecWest-Konferenz abgehaltenen Hacking-Wettbewerb von Google eine Sicherheitslücke in Chrome auszunutzen. Dabei umging er die Sandbox des Google-Browsers. Glazunov sicherte sich damit ein Preisgeld in Höhe von 60.000 Dollar.

Nun müssen die Browser-Hersteller nachbessern - nur Apple ist bisher davongekommen. Doch das könnte sich noch ändern: Das Team Vupen hatte auf Twitter angekündigt, auch für Safari einen Zero-Day-Exploit gefunden zu haben.

ore
Die Wiedergabe wurde unterbrochen.