Pwn2own Wettbewerb 2011

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • Pwn2own Wettbewerb 2011

      Apple Safari und Microsoft Internet Explorer 8 sind die erste Opfer beim
      Hacker-Wettbewerb Pwn2own , der zurzeit im Rahmen der
      Sicherheitskonferenz CanSecWest im kanadischen Vancouver läuft. Apple
      hat zwar buchstäblich in letzte Minute noch ein Update auf Safari 5.0.4
      veröffentlicht, diese Version ist jedoch nicht mehr zum Einsatz
      gekommen.
      Das zu HP gehörende Sicherheitsunternehmen TippingPoint, Veranstalter
      des Wettbewerbs, hat den Software-Stand zwei Wochen vor Beginn
      eingefroren, um allen Teilnehmern eine faire und verlässliche Basis zu
      bieten. Aber auch Safari 5.0.4 wäre wohl gefallen, da offenbar nicht
      alle Lücken beseitigt worden sind.
      Forscher des französischen Sicherheitsdienstleisters VUPEN (vormals
      FrSIRT) haben Safari, das auf einem Macbook mit einer aktuellen
      64-Bit-Version von Mac OS X installiert war, binnen weniger Sekunden
      gehackt. Sie haben einen Webkit-Exploit benutzt, mit dem sie trotz DEP
      und ASLR auch den Zugriff auf das Dateisystem demonstrieren konnten. Sie
      haben damit 15.000 US-Dollar und das Macbook Air gewonnen. Die benutzte
      Lücke ist auch in Safari 5.0.4 noch vorhanden. Andernfalls wäre nach
      den Regeln des Wettbewerbs zumindest die Geldprämie in Gefahr gewesen.
      Der Internet Explorer 8 hat nicht viel länger durchgehalten, der Hack
      hat jedoch mehr Aufwand erfordert. Unter Windows 7 (64 Bit) mit allen
      Updates (außer denen vom 8. März) hat der Metasploit-Entwickler Stephen
      Fewer drei 0-Day-Lücken gebraucht, um in den Rechner einzudringen. Fewer
      ist es damit gelungen die in Windows 7 standardmäßig aktivierten
      Sicherheitsmechanismen DEP (Data Execution Prevention) und ASLR (Address
      Space Layout Randomization) zu überwinden.
      Auch aus dem geschützten Modus des IE 8, einer Art Sandbox, ist er mit
      Hilfe von Exploit Nummer drei ausgebrochen und hat eine Datei auf der
      Festplatte abgelegt. Fewer war beim IE vor VUPEN an der Reihe, die sich
      sonst ebenfalls an Microsofts Browser versucht hätten.
      Firefox und Chrome sind am ersten Tag gar nicht angegangen worden. Der
      Wettbewerb wird heute fortgesetzt. Heute kommen auch diejenigen zum
      Zuge, die sich an den Smartphones versuchen wollen. Hier gilt das
      Blackberry Torch 9800 als Kandidat für einen Hack, da sich mehrere
      Forscher daran versuchen wollen. Zumindest einer hat dafür sogar seine
      Gelegenheit für einen Chrome-Hack fahren lassen.

      quelle pcwelt