Hackerwettbewerb bringt Lücken in allen gängigen Browsern an den Tag
Sicherheitsforscher haben im Rahmen des von HPs Zero Day Initiative (ZDI) veranstalteten Hackerwettbewerb Pwn2Own 21 bislang unbekannte Sicherheitslücken präsentiert. Sie stecken in Microsoft Windows und Internet Explorer 11, Mozilla Firefox, Apple Safari, Google Chrome sowie den Adobe-Anwendungen Reader und Flash Player. Die Entdecker der Schwachstellen wurden mit insgesamt 557.500 Dollar belohnt.
Am ersten Tag der zweitägigen Veranstaltung zeigten die Hackergruppen Team509 und Keen Team, wie sich mithilfe spezieller TrueType-Schriften (TTF) ein Heap Overflow in Flash Player auslösen und damit die Kontrolle über einen Windows-Rechner übernehmen lässt. Sie hebelten dazu alle Sicherheitsvorkehrungen der Adobe-Software und des Microsoft-Betriebssystems aus.
Der Sicherheitsforscher Nicolas Joly kassierte für ein weiteres Loch in Flash Player 30.000 Dollar. Er kombinierte für seinen Angriff einen Use-after-Free-Bug mit einer Directory-Traversal-Anfälligkeit, um ebenfalls Schadcode außerhalb der Sandbox der Anwendung auszuführen. Danach zeigte er einen Pufferüberlauf in Adobe Reader, der es ihm ermöglichte, Informationen auszulesen und Code auszuführen.
Auch das Keen Team widmete sich am ersten Tag dem Adobe Reader und nutzte einen anderen TTF-Bug, um vollständigen Systemzugriff zu erhalten, was ZDI mit 55.000 Dollar belohnte. Innerhalb von nur etwa einer halben Sekunde gelang es Mariusz Mlynski mittels einer Cross-Origin-Schwachstelle in Firefox die Kontrolle über ein vollständig gepatchtes Windows zu übernehmen. Auch hierfür gab es eine Prämie von 55.000 Dollar. Den ersten Tag beendete schließlich das Team 360Vulcan mit einem Exploit für Internet Explorer 64-Bit.
Zu Beginn des zweiten Tags demonstrierte der Hacker Ilxu1a einen Out-of-bounds-read/write-Bug in Firefox. JungHoon Lee, der sich “lokihardt” nennt, führte gleich drei Schwachstellen vorführte. Sein erster Angriff richtete sich gegen IE 64-Bit. Danach nutzte er einen Pufferüberlauf in Chrome zusammen mit zwei Fehlern im Windows-Kernel. In Apples Browser Safari steckt ihm zufolge zudem ein Use-after-free-Bug, der es ebenfalls erlaubt, Code außerhalb der Sandbox auszuführen.
Mozilla hat am Freitag beziehungsweise Samstag zwei Updates für seinen Browser veröffentlicht. Sie enthalten Fixes für zwei der drei während Pwn2Own gezeigten Fehler. Das am Donnerstag bereitgestellte Update für Chrome 41, zu dem Google keine weiteren Angaben macht, sollte jedoch keine Pwn2Own-Lücke schließen, weil diese erst tags darauf präsentiert wurde.
[mit Material von ZDNet.de]
<!– Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de –>Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.