Hacker-Wettbewerb

Pwn2own - Safari und Internet Explorer als erste gefallen

Am ersten Tag des Hacker-Wettbewerbs Pwn2own in Vancouver sind die Browser von Apple und Microsoft, Safari und Internet Explorer, als erste gehackt worden. Firefox und Chrome haben Tag 1 unbeschadet überstanden

Apple Safari und Microsoft Internet Explorer 8 sind die erste Opfer beim Hacker-Wettbewerb Pwn2own , der zurzeit im Rahmen der Sicherheitskonferenz CanSecWest im kanadischen Vancouver läuft. Apple hat zwar buchstäblich in letzte Minute noch ein Update auf Safari 5.0.4 veröffentlicht, diese Version ist jedoch nicht mehr zum Einsatz gekommen.

Das zu HP gehörende Sicherheitsunternehmen TippingPoint, Veranstalter des Wettbewerbs, hat den Software-Stand zwei Wochen vor Beginn eingefroren, um allen Teilnehmern eine faire und verlässliche Basis zu bieten. Aber auch Safari 5.0.4 wäre wohl gefallen, da offenbar nicht alle Lücken beseitigt worden sind.

Forscher des französischen Sicherheitsdienstleisters VUPEN (vormals FrSIRT) haben Safari, das auf einem Macbook mit einer aktuellen 64-Bit-Version von Mac OS X installiert war, binnen weniger Sekunden gehackt. Sie haben einen Webkit-Exploit benutzt, mit dem sie trotz DEP und ASLR auch den Zugriff auf das Dateisystem demonstrieren konnten. Sie haben damit 15.000 US-Dollar und das Macbook Air gewonnen. Die benutzte Lücke ist auch in Safari 5.0.4 noch vorhanden. Andernfalls wäre nach den Regeln des Wettbewerbs zumindest die Geldprämie in Gefahr gewesen.

Der Internet Explorer 8 hat nicht viel länger durchgehalten, der Hack hat jedoch mehr Aufwand erfordert. Unter Windows 7 (64 Bit) mit allen Updates (außer denen vom 8. März) hat der Metasploit-Entwickler Stephen Fewer drei 0-Day-Lücken gebraucht, um in den Rechner einzudringen. Fewer ist es damit gelungen die in Windows 7 standardmäßig aktivierten Sicherheitsmechanismen DEP (Data Execution Prevention) und ASLR (Address Space Layout Randomization) zu überwinden.

Auch aus dem geschützten Modus des IE 8, einer Art Sandbox, ist er mit Hilfe von Exploit Nummer drei ausgebrochen und hat eine Datei auf der Festplatte abgelegt. Fewer war beim IE vor VUPEN an der Reihe, die sich sonst ebenfalls an Microsofts Browser versucht hätten.

Firefox und Chrome sind am ersten Tag gar nicht angegangen worden. Der Wettbewerb wird heute fortgesetzt. Heute kommen auch diejenigen zum Zuge, die sich an den Smartphones versuchen wollen. Hier gilt das Blackberry Torch 9800 als Kandidat für einen Hack, da sich mehrere Forscher daran versuchen wollen. Zumindest einer hat dafür sogar seine Gelegenheit für einen Chrome-Hack fahren lassen. (PC Welt/mje)