08.03.2012 15:25
Google Chrome auf Ansage geknackt
Im Rahmen zweier auf der Sicherheitskonferenz CanSecWest ausgetragener Hacking-Wettbewerbe gelang es gleich zwei Teilnehmern, die aktuelle Version von Google Chrome zu kompromittieren. Den Anfang machte am gestrigen Mittwoch der Sicherheitsforscher Sergey Glazunov, der mit seinem Zero-Day-Exploit erfolgreich die Sandbox der aktuellen Chrome-Version unter Windows 7 umgehen konnte.
Glazunov nimmt an Googles Pwnium-Wettbewerb teil, der in diesem Jahr erstmals ausgetragen wird. Er hat sich mit seinem Exploit den Höchstbetrag von 60.000 US-Dollar aus dem Gesamttopf von einer Million US-Dollar gesichert. Google kündigte an, die Lücke in Kürze über die Auto-Update-Funktion des Browsers schließen zu wollen.
Kurze Zeit später gelang es auch dem Team der Sicherheitsfirma Vupen, den Chrome-Browser durch eine bislang unbekannte Schwachstelle zu kompromittieren. Vupen nimmt am Pwn2Own-Wettbewerb teil, der in diesem Jahr erstmals in mehreren Etappen ausgetragen wird. Ging man zuvor bereits als Sieger vom Platz, wenn man als erster Teilnehmer einen Exploit für ein bestimmtes Ziel entwickelt hatte, muss man nun noch in anderen Etappen bestehen, etwa der Entwicklung eines eigenen Exploits für eine bereits bekannte Schwachstelle.
Zumindest am gestrigen Mittwoch stand Vupen gänzlich ohne Herausforderer da – es lässt sich nur spekulieren, ob dies den Regeländerungen oder der Teilnahme Vupens geschuldet ist. Das Unternehmen, das sein Geld unter anderem mit dem Finden und Handeln von Schwachstellen verdient, kündigte vorab über Twitter an, mit Zero-Day-Exploits für alle bekannten Desktop-Browser ins Rennen zu ziehen.
Da man sich für Pwn2Own durch die Regeländerung nicht mehr vorab anmelden muss, ist es jedoch möglich, dass sich dem Wettbewerb im Laufe der nächsten Tagen noch weitere Teams anschließen.
(rei)
Ein Einstieg in die Analyse des Blackberry Z10 und des neuen Blackberry OS. 
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Ganze zwölf Sicherheitslücken soll die neue Quicktime-Version für Windows beseitigen - allesamt kritischer Natur. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
