Hackerwettbewerb deckt neue Lecks in Java, Chrome, Firefox und IE10 auf

SicherheitSicherheitsmanagement

Schon am ersten Tag des Pwn2Own-2013-Sicherheitstreffens finden die Wettbewerbsteilnehmer nur in Apples Browser Safari unter Mac OS X keine Sicherheitslücken. Mozilla und Google liefern bereits Patches aus, Oracle muss erneut mit drei Schwachstellen in Java kämpfen.

Im kanadischen Vancouver findet im Rahmen der Sicherheitskonferenz CanSecWest der jährliche Hackerwettbewerb Pwn2Own statt. Schon am ersten Tag haben Sicherheitsforscher neue Lecks in Chrome, Firefox und Internet Explorer 10 sowie im Browser-Plug-in Oracle Java demonstriert. Der Veranstalter, die HP-Tochter TippingPoint, zahlt den Findern dafür Belohnungen von bis zu 100.000 Dollar.

browser_sec_addons_300px

Das französische Sicherheitsunternehmen Vupen knackte als ersten Browser Microsofts Internet Explorer 10 unter Windows 8. Per Twitterteilte das Unternehmen mit, es habe auf einem Surface Pro mit Windows 8 die Sandbox des IE überwunden und die vollständige Kontrolle über das Betriebssystem übernommen.

Googles Browser Chrome, den das Unternehmen in Vorbereitung auf Pwn2Own noch Anfang der Woche aktualisiert hatte, musste sich kurz darauf zwei Mitarbeitern von MWR InfoSecurity beugen. Sie präsentieren eine Zero-Day-Lücke unter Windows 7. Es sei ausreichend, einen Nutzer auf eine präparierte Website zu locken, um Schadcode innerhalb der Sandbox des Browsers auszuführen. Mithilfe einer weiteren Kernel-Lücke in Windows 7 ließen sich beliebige Befehle dann auch außerhalb der Sandbox mit Systemrechten ausführen.

Vupen übernahm schließlich auch die Kontrolle über Mozillas Browser Firefox unter Windows 7. Für ihren Angriff kombinierten die Experten einen Use-after-free-Bug mit einer “brandneuen Technik zur Umgehung von ASLR/DEP” (Adress Space Layout Randomization/Date Execution Prevention). Dabei sei aber kein “Return Oriented Programming (ROP)” – eine sehr gebräuchliche Technik zur Ausnutzung von Sicherheitslücken – zum Einsatz gekommen. Den Wettbewerbsregeln zufolge seien die betroffenen Hersteller über die Anfälligkeiten informiert worden.

Oracles Java wurde am ersten Tag gleich dreimal geknackt. Vupen nutzte nach eigenen Angaben einen “Heap-Überlauf als Speicherleck zur Umgehung von ASLR und zur Codeausführung.” Weitere Schwachstellen wurden von Mitarbeitern von Accuvant Labs und Context Information Security vorgeführt.

Nur Apples Safari und Mac OS X und die Plug-ins Adobe Flash und Adobe Reader überstanden den ersten Tag unbeschadet. Letztere wurden HP zufolge jedoch am zweiten Tag von Vupen sowie dem als “Playstation-Hacker” bekannt gewordenen George Hotz geknackt. Darüber hinaus zeigte ein Sicherheitsforscher namens Ben Murphy gestern eine weitere Lücke in Oracles Java.

Google und Mozilla haben schon mit Updates für ihre Browser reagiert. Chrome-Nutzer erhalten ab sofort die aktualisierte Version 25.0.1364.160, die für Windows, Mac OS X und Linux zur Verfügung steht. Zudem schließt Firefox 19.0.2 die von Vupen entdeckte Schwachstelle, die einer Sicherheitsmeldung zufolge im HTML-Editor steckt.

In einem Interview mit ThreatPost sagte Chaouki Bekrar, CEO von Vupen, dass die Entwicklung von Exploits generell immer schwieriger werde. “Java ist wirklich einfach, weil es keine Sandbox gibt. Flash ist eine andere Sache. Es wir ständig aktualisiert und Adobe macht bei der Absicherung einen wirklich guten Job. Es ist viel teurer, einen Exploit für Flash zu schaffen, als für Java.”

Chrome sei aufgrund der Sandbox der am wenigsten angreifbare Browser. “Chromes schwacher Punkt ist Webkit und seine Stärke ist die Sandbox. Einer der Gründe, warum Chrome so sicher ist, ist wahrscheinlich, dass Google nicht einfach nur Anfälligkeiten behebt. Bei der Beseitigung von Techniken zur Umgehung der Sandbox zeigen sie Eigeninitiative.”

[mit Material von Steven J. Vaughan-Nichols, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.