Hacker-Wettbewerbe

Firefox und Internet Explorer folgen dem Chrome-Sturz

Im kanadischen Vancouver fanden gleich zwei parallel abgehaltene Hacker-Wettbewerbe statt. Beim etablierten Pwn2own haben Sicherheitsforscher neue kritische Sicherheitslücken in Chrome, Firefox und im Internet Explorer aufgezeigt. Googles Konkurrenzveranstaltung Pwnium, nur auf Chrome fixiert, hat ebenfalls mehrere Browser-Hacks gesehen.

Browserhacks

© Frank Ziemann

Browserhacks

Der vermeintlich nicht zu knackende Google-Browser Chrome hat in der letzten Woche mächtig Federn lassen müssen. Bei beiden Hacker-Wettbewerben, die während der Sicherheitskonferenz CanSecWest in Vancouver stattfinden, haben Sicherheitsforscher den Browser gehackt. Die von Sergej Glazunov am ersten Pwnium-Tag demonstrierten Chrome-Lücken haben die Browser-Entwickler mit dem Update auf Chrome 17.0.963.78 bereits am Donnerstag geschlossen, am Samstag mit dem Update auf Version 17.0.963.79 die vom "PinkiePie" am Freitag aufgezeigten Schwachstellen. Beide erhalten von Google je 60.000 Dollar.Am zweiten Pwn2own-Tag hat das Team des französischen Sicherheitsunternehmens VUPEN auch den Internet Explorer zu Fall gebracht. Mit vorbereiteten Exploits für zwei vorher nicht bekannte Schwachstellen haben die Hacker den Protected Mode des IE überwunden und die Kontrolle über den Windows-Rechner (Windows 7 x64, SP1) übernommen.Für die beiden erfolgreichen Browser-Hacks hat das VUPEN-Team jeweils 32 Punkte im Wettbewerb erhalten. Hinzu kommen 59 Punkte aus sechs gelösten Aufgaben der so genannten CVE Challenge, bei der Exploits für zu Beginn der Veranstaltung bekannt gegebene ältere Browser-Lücken geschrieben werden müssen. Für jeden der vier Browser Chrome, Firefox, Internet Explorer und Safari hatte Veranstalter TippingPoint zwei Schwachstellen benannt, die zu bearbeiten waren. Für einen erfolgreichen Exploit gab es am ersten Tag zehn, am zweiten Tag neun und am dritten Tag noch acht Punkte.Das zweitplatzierte Team besteht aus Vincenzo Iozzo und Willem Pinckaers, die bereits im letzten Jahr mit einem Blackberry-Hack gewinnen konnten. Sie haben im Wettbewerb um den Sieg, nach anfangs ganzen zehn Punkten aus einer CVE Challenge, am dritten Tag noch einen kompletten Firefox-Hack hingelegt. Mit weiteren Punkten aus der CVE Challenge haben sie insgesamt 66 Punkte erreicht. Für den zweiten Platz gibt es ein Preisgeld von 30.000 US-Dollar, das VUPEN-Team um Chaouki Bekrar fährt mit der Siegprämie von 60.000 Dollar nach Hause.