Pwn2Own: Safari und Chrome gehackt
Einmal mehr hat der Pwn2Own-Wettbewerb in Vancouver bewiesen, dass die Zeit nach dem Schließen bekannter Sicherheitslücken nur die Zeit vor dem Schließen neuer Sicherheitslücken ist. In komplexer Software wie Web-Browsern, die sich auch stetig weiterentwickelt, gibt es immer wieder unsichere Komponentenketten, die Angreifern aus dem Internet die vollständigen Kontrolle des Computers ermöglichen.
So konnte Jung-hoon Lee, besser bekannt unter seinem Hacker-Pseudonym Lokihardt, einmal mehr die Sandbox von Safari durch modifizierte Daten umgehen und sogar den vollständigen Zugriff auf OS X erlangen. Das Opfer müsste lediglich die entsprechende Webseite aufrufen. Ähnlich erfolgreich war auch Tencent Security bei ihren Sicherheitslücken in Safari, um die Kontrolle über das System zu erlangen.
Auch Google Chrome erging es nicht besser, dessen Sicherheitsmechanismen von 360Vulcan Team ausgeschaltet wurden, um schließlich Windows kontrollieren zu können. Die übrigen Angriffe des Wettbewerbs konzentrierten sich auf Adobe Flash, wobei ein Angriff von Microsofts neuem Web-Browser Edge vereitelt werden konnte.
Insgesamt 282.500 US-Dollar Preisgeld wurden an die Entdecker der Sicherheitslücken ausgezahlt. Die Sicherheitslücken wurden natürlich geheimgehalten und die Hersteller informiert. Hier bleibt abzuwarten, wie schnell darauf mit einem Update reagiert wird. Erfahrungsgemäß ist Google in dieser Angelegenheit deutlich schneller als Apple.
Weiterführende Links: