Auch Microsofts neuer Browser Edge bei Hackerwettbewerb geknackt
Zuvor waren beim Wettbewerb Pwn2Own 2016 bereits Lücken in den Browsern Chrome und Safari aufgezeigt worden. Im Windows-10-Browser nutzten die Sicherheitsforscher zwei bislang unbekannte Lücken aus. Sie erlauben in Kombination mit zuvor ebenfalls unbekannten Windows-Schwachstellen die Ausführung von Schadcode.
Beim diesjährigen Pwn2Own-Wettbewerb haben Hacker auch Sicherheitslücken in Microsofts Browser Edge aufgedeckt. Am ersten Tag der zweitägigen Veranstaltung waren zuvor bereits Lücken in Chrome und Safri entdeckt worden. Ein Angriff auf Adobe Flash in Edge war da jedoch noch gescheitert. Die nun offengelegten beiden Lücken in Edge wurden zudem mit zuvor ebenfalls unbekannten Lücken in Windows kombiniert.
Eine nicht initialisierte Stack-Variable in Edge nutzte JungHoon Lee zusammen mit einer Directory-Traversal-Schwachstelle in Windows, um Schadcode einzuschleusen und mit Systemrechten auszuführen. Das Tencent Security Team Sniper machte sich dagegen einen Out-of-Bounds-Bug in Edge zunutze, der in Kombination mit einem Pufferüberlauf im Windows-Kernel ebenfalls eine Remotecodeausführung mit Systemrechten erlaubt. Das Team Sniper führte zudem eine weitere Schwachstelle in Safari vor. Sie ermöglicht es Unbefugten Code mit Rootrechten unter Mac OS X auszuführen.
Insgesamt wurden damit an den beiden Tagen des Wettbewerbs insgesamt 21 Sicherheitslücken aufgedeckt: Sechs in Windows, fünf in Mac OS X, vier in Adobe Flash Player, drei in Apple Safari, zwei in Microsoft Edge und eine in Google Chrome. Über letztere hatte ein Sicherheitsforscher Google jedoch bereits vor dem Wettbewerb informiert. Die Teilnehmer erhielten für die gefundenen Schwachstellen Prämien in Höhe von insgesamt 460.000 Dollar.
[mit Material von Björn Greif, ZDNet.de]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.