29.02.2012 08:10
Pwn2Own: Google will Sicherheitslücken großzügig belohnen
Vom 7. bis 9. März findet in Vancouver der sechste Pwn2Own-Sicherheitswettbewerb statt. Auf der dreitägigen Veranstaltung geht es darum, festgelegte Rechnerkonfigurationen mit Windows oder Mac OS X über Sicherheitslücken zu unterwandern. Die Sieger erhalten neben Preisgeldern die Hardware, auf denen der Exploit ausgeführt wurde. Bisher ist Google Chrome der einzige Browser, der im Rahmen des jährlichen Sicherheitswettbewerbs noch nie unterwandert wurde.
Einem Blog-Eintrag zufolge wollte Google den Pwn2Own-Wettbewerb ursprünglich direkt sponsern. Dieses Angebot zog der Konzern zurück, weil Teilnehmer den geänderten Regeln zufolge auch dann teilnehmen dürfen, wenn sie ihre Exploit-Methoden nicht vollständig offenlegen. Bisher war Full Disclosure bei Pwn2Own eine feste Teilnahmebedingung. Die Veranstalter haben die Änderung der Regeln damit erklärt, dass der Wettbewerb damit weniger vom Zufall abhängig sein soll und Patts vermieden werden können.
Mit den Preisgeldern will Google einen Anreiz dafür schaffen, dass die Teilnehmer ihre Exploits trotz der neuen Regeln vollständig offenlegen. Für einen funktionierenden Windows-Exploit gegen Chrome selbst bietet Google 60 000 US-Dollar; für einen Exploit in Kombination mit anderen Modulen will Google 40 000 US-Dollar zahlen. Für jenseits von Chrome offengelegte Lücken gibt es einen "Trostpreis" in Höhe von 20.000 US-Dollar. Google will pro Kategorie mehrere Preise zahlen, bis der Gesamtbetrag die versprochene Million erreicht.
Google betreibt schon länger ein "Chromium Security Rewards Program", das in Chrome gefundene Sicherheitslücken mit Geld belohnt. Dem Hersteller zufolge hat Google über dieses Programm bereits über 300.000 US-Dollar an Sicherheitsforscher ausgezahlt.
(ghi)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
