Hacker-Wettbewerb

Alle Browser bei Pwn2own gehackt

Bei Hacker-Wettbewerb Pwn2own haben Sicherheitsforscher bislang unbekannte Sicherheitslücken aller gängigen Browser demonstriert.

Beim Hacker-Wettbewerb Pwn2own war kein Browser sicher.

© Frank Ziemann

Beim Hacker-Wettbewerb Pwn2own war kein Browser sicher.

In dieser Woche fand im kanadischen Vancouver der jährliche Hacker-Wettbewerb Pwn2own statt. Der Veranstalter HP ZDI (Zero Day Initiative) hält den Wettstreit der Sicherheitsforscher seit 2006 im Rahmen der Sicherheitskonferenz CanSecWest ab. Die Sponsoren HP und Google hatten diesmal Preisgelder in einer Gesamthöhe von über einer Million US-Dollar ausgelobt.

Ziele waren die Browser Chrome, Firefox, Internet Explorer und Safari sowie die Plug-ins Flash Player, Adobe Reader und Java. Als Zielplattform wurde Windows 8.1 genutzt, außer bei Apple Safari, der auf OS X Mavericks lief. Um ein Preisgeld zu gewinnen, galt es eine bis dahin unbekannte Sicherheitslücke auszunutzen, um mit eingeschleustem Code das Taschenrechnerprogramm des Betriebssystems zu starten. Im Ernstfall würde ein Angreifer so beliebigen eingeschleusten Code ausführen können.

Zunächst sind Teams der Sponsoren HP ZDI und Google außer der Reihe zum Duell "Pwn4fun" angetreten. Die Google-Forscher demonstrierten einen Safari-Hack, das HP-Team nutzte eine Lücke im Internet Explorer, um den Taschenrechner zu starten. Zusammen erbrachten die beiden Hacks eine Spende in Höhe von 82.500 US-Dollar an das Kanadische Rote Kreuz.

Für den eigentlichen Wettbewerb sind sieben Hacker und Forscher-Teams angetreten. Das schon im Vorjahr erfolgreiche Team des französischen Unternehmens VUPEN ist mit mehreren Exploits im Gepäck angereist. Es hat ausnutzbare Sicherheitslücken in Chrome, Firefox und Internet Explorer sowie im Adobe Reader und im Flash Player demonstriert. Die mitgebrachten Exploits gegen Safari und Java blieben im Koffer.

Das chinesische Keen-Team hat Exploits gegen Safari und den Flash Player demonstriert. Die deutschen Forscher Sebastian Apelt und Andreas Schmidt haben den Internet Explorer 11 geknackt. Die Browser Mozilla Firefox und Internet Explorer wurden insgesamt viermal gehackt, Chrome und Safari je zweimal, Pwn4fun mitgerechnet. Insgesamt haben die Sponsoren Preisgelder in Höhe von 850.000 Dollar an die Wettbewerbsteilnehmer ausgezahlt. Hinzu kommen die Spenden aus Pwn4fun sowie Sachpreise.

Alle ausgenutzten Sicherheitslücken wurden noch vor Ort an die anwesenden Vertreter der jeweiligen Software-Hersteller übergeben. Diese werden in nächster Zeit Updates bereit stellen, um die Schwachstellen in ihren Produkten zu beseitigen. So ist etwa für die kommende Woche ohnehin eine neue Firefox-Version angekündigt.

Mehr zum Thema

Windows Update: Screenshot
Windows Update jetzt ausführen

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können.…
Whatsapp-Logo
Abofallen und Gewinnspiele

Erhalten Sie per Whatsapp Werbe-Nachrichten zu Whatsapp Gold, klicken Sie getrost auf Löschen. Dahinter verbergen sich Abofallen und dubiose…
Symbolbild: Sicherheit
Kundenpasswörter im Klartext

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im…
Flash-Lücke entdeckt
Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.
Symbolbild für Internet-Sicherheit und Spionage
Teslacrypt

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…