Apple Safari und Microsoft Internet Explorer 8 sind die erste Opfer beim Hacker-Wettbewerb Pwn2own , der zurzeit im Rahmen der Sicherheitskonferenz CanSecWest im kanadischen Vancouver läuft. Apple hat zwar buchstäblich in letzte Minute noch ein Update auf Safari 5.0.4 veröffentlicht, diese Version ist jedoch nicht mehr zum Einsatz gekommen.

Das zu HP gehörende Sicherheitsunternehmen TippingPoint, Veranstalter des Wettbewerbs, hat den Software-Stand zwei Wochen vor Beginn eingefroren, um allen Teilnehmern eine faire und verlässliche Basis zu bieten. Aber auch Safari 5.0.4 wäre wohl gefallen, da offenbar nicht alle Lücken beseitigt worden sind.

Forscher des französischen Sicherheitsdienstleisters VUPEN (vormals FrSIRT) haben Safari, das auf einem Macbook mit einer aktuellen 64-Bit-Version von Mac OS X installiert war, binnen weniger Sekunden gehackt. Sie haben einen Webkit-Exploit benutzt, mit dem sie trotz DEP und ASLR auch den Zugriff auf das Dateisystem demonstrieren konnten. Sie haben damit 15.000 US-Dollar und das Macbook Air gewonnen. Die benutzte Lücke ist auch in Safari 5.0.4 noch vorhanden. Andernfalls wäre nach den Regeln des Wettbewerbs zumindest die Geldprämie in Gefahr gewesen.

Der Internet Explorer 8 hat nicht viel länger durchgehalten, der Hack hat jedoch mehr Aufwand erfordert. Unter Windows 7 (64 Bit) mit allen Updates (außer denen vom 8. März) hat der Metasploit-Entwickler Stephen Fewer drei 0-Day-Lücken gebraucht, um in den Rechner einzudringen. Fewer ist es damit gelungen die in Windows 7 standardmäßig aktivierten Sicherheitsmechanismen DEP (Data Execution Prevention) und ASLR (Address Space Layout Randomization) zu überwinden.

Auch aus dem geschützten Modus des IE 8, einer Art Sandbox, ist er mit Hilfe von Exploit Nummer drei ausgebrochen und hat eine Datei auf der Festplatte abgelegt. Fewer war beim IE vor VUPEN an der Reihe, die sich sonst ebenfalls an Microsofts Browser versucht hätten.

Firefox und Chrome sind am ersten Tag gar nicht angegangen worden. Der Wettbewerb wird heute fortgesetzt. Heute kommen auch diejenigen zum Zuge, die sich an den Smartphones versuchen wollen. Hier gilt das Blackberry Torch 9800 als Kandidat für einen Hack, da sich mehrere Forscher daran versuchen wollen. Zumindest einer hat dafür sogar seine Gelegenheit für einen Chrome-Hack fahren lassen.

quellecwelt

Mal schauen wie lange Apple diesmal zum fixen von OSX braucht. Sicher wieder 3 Monate, wirklich sehr sicher...

ja man darf gespannt sein.......hey du hast grade von mir dein 1000 dankeschön erhalten sag mal danke hehehehehe

Bis jetzt wurde doch nur auf Windows und OSX gehackt. Kommt auch noch eine Linux Distribution dran? Gibt ja Firefox und Chrome auch für Linux.

Hey an Chrome hat sich keiner dran getraut.Chrome ist auch ein sehr zuverlässiger Browser,nur die Datenkrake Google,deswegen benutz ich Opera

Das hat sich auch schon geändert. Ich benutze seit ca. 1 Jahr Chrome und finde, es ist der beste Browser. Wer Angst um seine Daten hat, kann ja den IRON benutzen.

Was ist Iron ?

Hier: http://www.chip.de/downloads/SRWare-Iron_32944050.html basiert auf der Chromium Engine, die Google Chrome ebenfalls verwendet. Nur "sicherer" in Sachen Privatsphäre.

Dieser Beitrag wurde zuletzt bearbeitet: 16.03.2011 16:31 von philix.