heise online Logo
Anmelden
Menü Menue
IT News
  • Newsticker
  • heise Developer
  • heise Netze
  • heise Open Source
  • heise Security
Online-Magazine
  • heise+
  • Telepolis
  • heise Autos
  • TechStage
  • tipps+tricks
Magazine
  • c't
  • iX
  • Technology Review
  • c't Fotografie
  • Mac & i
  • Make
  • im Browser lesen und Artikel-Archiv
Services
  • Stellenmarkt heise Jobs
  • Weiterbildung
  • heise Download
  • Preisvergleich
  • Whitepaper/Webcasts
  • DSL-Vergleich
  • Netzwerk-Tools
  • Spielen bei Heise
  • Loseblattwerke
  • iMonitor
  • IT-Markt
Heise Medien
  • heise shop
  • Abo
  • Veranstaltungen
  • Arbeiten bei Heise
  • Mediadaten
  • Presse
Anzeige SecurityHub Online-Marketing
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
heise Security Logo
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • heise Security Pro
    • FAQs zu heise Security Pro
  • Events
  • Kontakt
  1. Security
  2. Hintergrund
  3. Lesetipp
  4. Der 60.000-Dollar-Ausbruch

Der 60.000-Dollar-Ausbruch

Lesetipp 23.05.2012 11:20 Uhr Ronald Eikenberg

Google erklärt, wie Teilnehmern des Hackerwettbewerbs Pwnium der Ausbruch aus der Chrome-Sandbox gelang.

Chrome gilt als das Alcatraz unter den Webbrowsern. Ein Ausbruch aus der Chrome-Sandbox ist ein kompliziertes Kunststück, das bislang nur wenigen gelungen ist. Dementsprechend hoch war auch die Belohnung, die Google im Rahmen seines Hackingwettbewerbs Pwnium für Diejenigen ausgeschrieben hat, denen dieses Kunststück gelingt: 60.000 US-Dollar.

Gleich zwei Hackern gelang es, das Geld abzuräumen. Leichtes Spiel hatten die beiden allerdings nicht, wie Google nun in einem Blog-Beitrag beschrieben hat: So musste der Hacker Pinkie Pie sechs Schwachstellen kombinieren, damit sein Code auf dem Testsystem beim Besuch einer speziellen Webseite ausgeführt wurde.

Schwachstellen-Guru Sergey Glazunov, der zweite im Bunde, musste sogar zehn Sicherheitslücken kombinieren. Einige davon, vermutlich im WebKit-Kern, betreffen aktuell noch andere Browser, sodass Google Glazunovs Vorgehen noch unter Verschluss hält. Pinkie Pies Ausbruch hat Google in dem Blog-Betrag aber schon recht detailliert dokumentiert. Und nach dieser Lektüre ist klar, dass die 60.000 US-Dollar sicher kein leicht verdientes Geld waren.

(rei)

Mehr zum Thema

  • Chrome
  • Google
  • Sicherheitslücke

Teile diesen Beitrag

https://heise.de/-1582469 Drucken
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Krypto-Kampagne
Alerts! alle Alert-Meldungen

Weitere Updates für Chrome & Edge

Chrome-Update (& Edge)

Patchday SAP

Patchday Adobe

Eigenwerbung
Online-Konferenz am 21. April: Mastering Websecurity

Moderne Webanwendungen sicher gestalten

Lernen Sie auf der Online-Konferenz am 21. April, wie Sie Security-Risiken für Ihre Webanwendungen erkennen und absichern. Profitieren Sie bis zum 9. April von unserem Frühbucher-Rabatt und sparen Sie 50 €!

Anzeige
Anzeige
  • Couchbase – Plattform für Ihre Daten!
  • Wie und womit arbeiten Data-Science-Experten?
  • Transformation im Supermarkt – aus der Praxis!
  • Success Story (+Demo): Patch-Management in Praxis
  • Sichere Videokonferenzen im Unternehmen
  • Sicherheit in der Cloud ohne Leistungsverluste
  • Verständliche Video-Zusammenarbeit am Arbeitsplatz
  • Neue Security-Idee: Hardware-basierte IT-Sicherheit
  • Themenspecial: Business IT-Lösungen
  • Ganzheitliche Security-Tools oder Insellösungen?
Artikel

Windows: REvil-Trojaner trickst abgesicherten Modus aus

Eigentlich soll der abgesicherte Modus dabei helfen, ein angeschlagenes System zu retten. Der Erpressungstrojaner macht ihm damit den Garaus.

54 Kommentare

iOS: Certificate Pinning per Konfiguration

App-Entwickler können die für TLS-Verbindungen erlaubten Schlüssel seit iOS 14 per Konfiguration einschränken.

8 Kommentare

Auf Tätersuche: Herausforderungen bei der Analyse von Cyber-Angriffen

Das Bedürfnis bei Cyber-Angriffen Täter zu benennen wächst. Doch die verantwortlichen Gruppen spezialisieren sich immer mehr und kooperieren bei Bedarf.

18 Kommentare mit Video

Neueste Forenbeiträge

  1. Re: Desinfect, wie komme ich an eine aktuelle Version
    Hallo, entweder Sie kaufen die aktuelle Version Desinfec't 2020/21 mit einem c't-Sonderheft oder Sie warten noch bis Ende Mai. Dann liegt c't…

    Forum:  Desinfect

    Avatar von Dennis Schirrmacher
    von Dennis Schirrmacher; vor 19 Stunden
  2. Re: Virusfund in Chinesisch-Online-Test
    Zur Info: Inzwischen wurde die Prüfung aus "technischen Gründen" abgesagt!

    Forum:  Viren & Würmer

    tomseitz320 hat keinen Avatar
    von tomseitz320; Dienstag, 17:29
  3. Re: Desinfect im Netz ( PXE - NFS - SAMBA bzw. SMB mit CIFS )
    Sorry, ist "einfach" auf Android Tablet unter Edge losgeschrieben incl. copy/paste auch unter Android ... Beitrag sieht auf Tablet ok aus - ich…

    Forum:  Desinfect

    rmarquar hat keinen Avatar
    von rmarquar; 09.04.2021 14:26
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Krypto-Kampagne
  • Datenschutz
  • Impressum
  • Kontakt
  • Mediadaten
  • Content Management by InterRed
  • Copyright © 2021 Heise Medien