Pwn2Own: Forscher zeigen Schwachstellen in Firefox, IE und Flash Player auf
Sicherheitsforscher haben am ersten Tag des Hackerwettbewerbs Pwn2Own bislang unbekannte Sicherheitslücken in Internet Explorer, Firefox, Adobe Flash Player und Adobe Reader demonstriert. Der Wettbewerb findet jedes Jahr im Rahmen der Konferenz CanSecWest statt. Veranstalter Hewlett-Packard hat am ersten Tag 400.000 Dollar an Preisgeldern an die Forscher ausgezahlt.
Gleich vier Lücken zeigte das französische Unternehmen Vupen. Demnach lässt sich eine Schwachstelle in Adobe Reader XI ausnutzen, um Schadcode außerhalb der Sandbox der PDF-Anwendung auszuführen. Zudem stellte Vupen zwei Use-after-free-Bugs in Internet Explorer und Firefox vor. HP zufolge lässt sich der Fehler in Microsofts Browser nutzen, um die integrierte Sandbox zu umgehen.
Auch in Adobe Flash Player entdeckte Vupen einen ungepatchten Use-after-free-Bug. Das Unternehmen nutzte seinen Exploit gegen das Flash-Plug-in in Internet Explorer 11. Die Forscher konnten auch hier die Sandbox austricksen und Schadcode einschleusen sowie ausführen. Für ihre Entdeckungen erhielten sie eine Belohnung von insgesamt 300.000 Dollar.
Die Sicherheitsforscher Jüri Aedla und Mariusz Mlynski führten erfolgreich Schwachstellen in Firefox vor. Mlynski nutzte zwei Fehler in Mozillas Browser aus, um seine Benutzerrechte zu erhöhen und umging anschließend Sicherheitsmaßnahmen des Browsers.
Um die Schwachstellen zu demonstrierten wurde eine vollständig gepatchte Version von Windows 8.1 64-Bit verwendet. “Es wird definitiv schwerer, Browser anzugreifen, besonders unter Windows 8.1”, zitiert Threatpost Chaouki Bekrar, Gründer von Vupen. Schwachstellen seien schwieriger zu finden und auszunutzen. Google Chrome besitze momentan die sicherste Sandbox.
Threadpost zufolge hat Vupen einen Exploit für eine Zero-Day-Lücke in Chrome angekündigt. Mit diesem können die französischen Experten weitere 100.000 Dollar gewinnen. Vupen und eine Gruppe namens Keen Team wollen zudem gemeinsam Apples Browser Safari hacken.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de