Pwn2Own 2012: Sicherheitsforscher knacken auch Firefox 10

Der von Willem Pinckaers und Vincenzo Iozzo entdeckte Use-after-free-Bug umgeht DEP und ASLR. Damit lässt sich die Kontrolle über ein vollständig gepatchtes Windows 7 übernehmen. Pwn2Own 2012 beenden die beiden Forscher mit dem zweiten Platz.

von Stefan Beiersmann 0

Die Sicherheitsforscher Willem Pinckaers und Vincenzo Iozzo haben während des Hackerwettbewerbs Pwn2Own 2012 eine Schwachstelle in Firefox 10 vorgeführt und damit die Kontrolle über ein vollständig gepatchtes Windows 7 übernommen. Es handelt sich um eine Use-after-free-Anfälligkeit in dem Open-Source-Browser, die zudem die Sicherheitstechniken DEP und ASLR umgeht, die eigentlich die Auswirkungen von Exploits auf Windows minimieren sollen.

Firefox besitzt im Gegensatz zu Googles Chrome und Microsofts Internet Explorer keine Sandbox, was den Browser zu einem einfacheren Ziel von Angriffen macht. Allerdings wurden während Pwn2Own 2012 auch Löcher in Chrome und IE demonstriert, die ein Ausführen von Schadcode außerhalb der Sandbox ermöglichen.

Pinckaers sagte in einem Interview, der Use-after-free-Bug werde bei dem Angriff insgesamt dreimal ausgenutzt. “Wir haben ihn das erste Mal verwendet, um einige Informationen freizusetzen, dann haben wir ihn erneut eingesetzt, um Adressen von unseren Daten zu erhalten. Danach haben wir ihn ein drittes Mal benutzt, um den Code auszuführen.” Er habe nur einen Tag gebraucht, um den Exploit zu schreiben, nachdem er die Anfälligkeit von Iozzo erhalten habe.

Nach Angaben der Veranstalters Tipping Point wurden keine Zero-Day-Exploits für Apples Safari demonstriert. Sieger des Hackerwettbewerbs ist das französische Sicherheitsunternehmen Vupen. Für seine Zero-Day-Lücken in Chrome und Internet Explorer erhält es ein Preisgeld von 60.000 Dollar. Pinckaers und Iozzo belegen mit ihrem Firefox-Exploit den zweiten Platz, der mit 30.000 Dollar dotiert ist.

[mit Material von Ryan Naraine, ZDNet.com]

ITespresso für mobile Geräte
Android-App Google Currents App for iOS

avast! Antivirus

Mehr als 200 Millionen Nutzer vertrauen avast! beim Schutz Ihrer Geräte - mehr als jedem anderen Antiviren-Programm. Und jetzt ist avast! noch besser. Jetzt herunterladen!

Möchten nicht auch Sie wissen, wie zufrieden andere Anwender mit der Nutzung ihrer CRM-Anwendung imSaaS-Modell sind, warum sie sich dagegen entschieden haben oder sich gar nicht damit beschäftigen wollen? Diesen und anderen Fragen geht Hassan Hosseini von The-Industry-Analyst.com in Kooperation mit dem Herausgeber von silicon.de in der aktuellen Umfrage zur CRM Nutzung als "Software as a Service" in Deutschland nach.

Jetzt teilnehmen!

Letzter Kommentar




0 Antworten zu Pwn2Own 2012: Sicherheitsforscher knacken auch Firefox 10

Hinterlasse eine Antwort

  • Erforderliche Felder sind markiert *,
    Deine E-Mail-Adresse wird nicht veröffentlicht.

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>