Chrome und Safari beim Pwn2Own geknackt

14.03.2014 15:41 Uhr Ronald Eikenberg

Am zweiten Tag des Hacker-Wettbewerbs haben die Teilnehmer insgesamt 450.000 US-Dollar abgeräumt. Auch George Hotz zählt zu den Gewinnern. Veranstaltet wird der Pwn2Own von der zu Hewlett Packard gehörenden Zero-Day-Initiative (ZDI).

Auch am zweiten und letzten Tag des Hacker-Wettbewerbs Pwn2Own [1] haben die teilnehmenden Sicherheitsexperten wieder zahlreiche Opfer gefunden. So gelang es etwa dem chinesischen Keen Team sowohl Apple Safari als auch Adobe Flash über bislang unbekannte Schwachstellen zur Code-Ausführung zu bringen.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.

YouTube-Video immer laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung [2].

Am ersten Tag des Pwn2Own-Wettbewerbs demonstrierte der polnische Sicherheitsforscher Mariusz Mlynski seinen Angriff auf Firefox. Dafür erhielt er eine Prämie in Höhe von 50.000 US-Dollar. Quelle: HP Zero Day Initiative

Das Team des Exploit-Brokers Vupen hat einen Rechner über Google Chrome kompromittiert; einschließlich Sandbox-Ausbruch. Ein anonymer Teilnehmer präsentierte ebenfalls einen Ausbruch aus der Chrome-Sandbox, allerdings nutzte er dafür einen Bestandteil eines bereits zuvor präsentierten Angriffs, weshalb ihm der Sieg nur teilweise anerkannt wurde.

Auch George Hotz (aka geohot) [3] konnte eine Geldprämie abräumen, er demonstrierte einen erfolgreichen Angriff auf Firefox, bei dem er den Browser dazu brachte, Code auszuführen. Außerdem wurde eine Attacke auf den Internet Explorer 11 gezeigt.

Die angegriffenen Programmen liefen laut Teilnahmebedingungen [4] jeweils in ihrer aktuellen Version auf einem vollständig gepatchten Windows 8.1 oder Mac OS X Mavericks. Wie immer wurden die Details über die bislang unbekannte Schwachstellen nicht veröffentlicht, sondern vertraulich an die jeweiligen Hersteller gemeldet.

Der Exploit Unicorn Prize [5], an den ein Preisgeld in Höhe von 150.000 US-Dollar hängt, wurde nicht vergeben. Die Voraussetzung war, einen mit Microsoft EMET geschützten Rechner anzugreifen und darauf Code mit SYSTEM-Rechten zur Ausführung zu bringen.

Siehe hierzu auch:

Pwn2Own, Tag 1: Google hackt Mac OS X für den guten Zweck [6]

(rei [7])

URL dieses Artikels:
https://www.heise.de/-2145122

Links in diesem Artikel:
[1] http://www.pwn2own.com/2014/03/pwn2own-results-thursday-day-two/
[2] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[3] http://www.heise.de/security/suche/?q=+George+Hotz
[4] http://www.pwn2own.com/2014/01/pwn2own-2014-rules-unicorns/
[5] http://www.pwn2own.com/2014/01/pwn2owns-new-exploit-unicorn-prize-additional-background-civilians/
[6] https://www.heise.de/news/Google-hackt-Mac-OS-X-fuer-den-guten-Zweck-2141483.html
[7] mailto:rei@heise.de