Browser: Chrome und Internet Explorer 11 gehackt

BrowserMobileMobile OSSicherheitWorkspace

Von der Lücke in Chrome sind Android, Windows, Mac OS X und Linux betroffen. Einen Patch hat Google bereits zur Verfügung gestellt. Über eine Schwachstelle in IE11 kann ein Hacker die Kontrolle über ein Surface RT mit Windows 8.1 erlangen.

Eine unbekannte Schwachstelle in Chrome für Android und Internet Explorer 11 unter Windows 8.1 haben Sicherheitsforscher beim Hackerwettbewerb Mobile Pwn2Own vorgeführt. Mithilfe dieser Lücken ist es möglich, die Kontrolle über ein Surface RT von Microsoft beziehungsweise die Smartphones Nexus 4 und Samsung Galaxy S4 zu übernehmen. Das berichtet Computerworld.

shutterstock-hacker-angriff-daten-lolloj-300

“Pinkie Pie”, der schon mehrere Fehler in Googles Browser entdeckt hat, demonstrierte die Schwachstelle in Chrome für Android. Er kombinierte einen Integerüberlauf mit einer weiteren, nicht näher bezeichneten Schwachstelle, um Schadcode außerhalb der Sandbox auszuführen. Einen ersten Exploit für Chrome OS stellte der Hacker im März beim Wettbewerb Pwnium vor. Er erhielt für die Entdeckung der neuen Chrome-Lücke eine Prämie von 50.000 Dollar.

Für die Browser-Lücke hat Google mittlerweile einen Fix bereitgestellt. Dieser ist in der Version 31.0.1650.59 in den kommenden Tagen im Play Store verfügbar. Für Windows, Mac OS X und Linux steht die Version 31.0.1650.57 zum Download bereit. Da die Sandbox umgangen wird, stuft Google das von der Schwachstelle ausgehende Risiko als kritisch ein.

Laut Computerworld haben die Forscher Aziz Hariri und Matt Molinyawe zudem ein Leck in Internet Explorer 11 vorgestellt. Beide arbeiten für Hewlett-Packards Zero Day Initiative, den Veranstalter von Mobile Pwn2Own. “Einen Bug in IE auszunutzen ist aufgrund der Schutzmaßnahmen und Sicherheitskontrollen, die Microsoft implementiert hat, grundsätzlich schwierig”, wird Hariri zitiert. Die Schwachstelle müsse zweimal ausgenutzt werden, um eine Speicheradresse zu erhalten und Schadcode ausführen zu können. Anschließend könne jedoch die vollständige Kontrolle über das angegriffene System übernommen werden.

Lücken in zwei Versionen von iOS (6.1.4 und 7.0.3) hatten Hacker im Rahmen des Wettbewerbs bereits früher vorgeführt. Sie ermöglichen das Auslesen von gespeicherten Fotos und der Cookie-Datenbank von Safari. Um ohne erkennbare Spuren eine Malware auf Systemebene zu installieren, nutzen Mitarbeiter der japanischen Sicherheitsfirma Mitsui Bussan Secure Directions mehrere Schwachstellen in Standardprogrammen des Galaxy S4 aus. Allerdings sind sie auf das Samsung-Smartphone beschränkt. Es handelt sich nicht um Schwachstellen in Android.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de