Menü
Security

Google Chrome auf Ansage geknackt

vorlesen Drucken Kommentare lesen 72 Beiträge

Im Rahmen zweier auf der Sicherheitskonferenz CanSecWest ausgetragener Hacking-Wettbewerbe gelang es gleich zwei Teilnehmern, die aktuelle Version von Google Chrome zu kompromittieren. Den Anfang machte am gestrigen Mittwoch der Sicherheitsforscher Sergey Glazunov, der mit seinem Zero-Day-Exploit erfolgreich die Sandbox der aktuellen Chrome-Version unter Windows 7 umgehen konnte.

Glazunov nimmt an Googles Pwnium-Wettbewerb teil, der in diesem Jahr erstmals ausgetragen wird. Er hat sich mit seinem Exploit den Höchstbetrag von 60.000 US-Dollar aus dem Gesamttopf von einer Million US-Dollar gesichert. Google kündigte an, die Lücke in Kürze über die Auto-Update-Funktion des Browsers schließen zu wollen.

Kurze Zeit später gelang es auch dem Team der Sicherheitsfirma Vupen, den Chrome-Browser durch eine bislang unbekannte Schwachstelle zu kompromittieren. Vupen nimmt am Pwn2Own-Wettbewerb teil, der in diesem Jahr erstmals in mehreren Etappen ausgetragen wird. Ging man zuvor bereits als Sieger vom Platz, wenn man als erster Teilnehmer einen Exploit für ein bestimmtes Ziel entwickelt hatte, muss man nun noch in anderen Etappen bestehen, etwa der Entwicklung eines eigenen Exploits für eine bereits bekannte Schwachstelle.

Zumindest am gestrigen Mittwoch stand Vupen gänzlich ohne Herausforderer da – es lässt sich nur spekulieren, ob dies den Regeländerungen oder der Teilnahme Vupens geschuldet ist. Das Unternehmen, das sein Geld unter anderem mit dem Finden und Handeln von Schwachstellen verdient, kündigte vorab über Twitter an, mit Zero-Day-Exploits für alle bekannten Desktop-Browser ins Rennen zu ziehen.

Da man sich für Pwn2Own durch die Regeländerung nicht mehr vorab anmelden muss, ist es jedoch möglich, dass sich dem Wettbewerb im Laufe der nächsten Tagen noch weitere Teams anschließen. (rei)