zurück zum Artikel

Google Chrome auf Ansage geknackt

Im Rahmen zweier auf der Sicherheitskonferenz CanSecWest [1] ausgetragener Hacking-Wettbewerbe gelang es gleich zwei Teilnehmern, die aktuelle Version von Google Chrome [2] zu kompromittieren. Den Anfang machte am gestrigen Mittwoch der Sicherheitsforscher Sergey Glazunov, der mit seinem Zero-Day-Exploit erfolgreich die Sandbox der aktuellen Chrome-Version unter Windows 7 umgehen [3] konnte.

Glazunov nimmt an Googles Pwnium-Wettbewerb [4] teil, der in diesem Jahr erstmals ausgetragen wird. Er hat sich mit seinem Exploit den Höchstbetrag von 60.000 US-Dollar aus dem Gesamttopf von einer Million US-Dollar gesichert. Google kündigte an [5], die Lücke in Kürze über die Auto-Update-Funktion des Browsers schließen zu wollen.

Kurze Zeit später gelang [6] es auch dem Team der Sicherheitsfirma Vupen [7], den Chrome-Browser durch eine bislang unbekannte Schwachstelle zu kompromittieren. Vupen nimmt am Pwn2Own-Wettbewerb [8] teil, der in diesem Jahr erstmals in mehreren Etappen ausgetragen wird. Ging man zuvor bereits als Sieger vom Platz, wenn man als erster Teilnehmer einen Exploit für ein bestimmtes Ziel entwickelt hatte, muss man nun noch in anderen Etappen bestehen, etwa der Entwicklung eines eigenen Exploits für eine bereits bekannte Schwachstelle.

Zumindest am gestrigen Mittwoch stand Vupen gänzlich ohne Herausforderer da – es lässt sich nur spekulieren, ob dies den Regeländerungen oder der Teilnahme Vupens geschuldet ist. Das Unternehmen, das sein Geld unter anderem mit dem Finden und Handeln von Schwachstellen verdient, kündigte vorab über Twitter an [9], mit Zero-Day-Exploits für alle bekannten Desktop-Browser ins Rennen zu ziehen.

Da man sich für Pwn2Own durch die Regeländerung nicht mehr vorab anmelden muss, ist es jedoch möglich, dass sich dem Wettbewerb im Laufe der nächsten Tagen noch weitere Teams anschließen. (rei [10])


URL dieses Artikels:
http://www.heise.de/-1434161

Links in diesem Artikel:
[1] http://cansecwest.com/
[2] http://www.google.de/chrome/
[3] https://www.zdnet.com/blog/security/cansecwest-pwnium-google-chrome-hacked-with-sandbox-bypass/10563
[4] https://www.heise.de/meldung/Pwn2Own-Google-will-Sicherheitsluecken-grosszuegig-belohnen-1444710.html
[5] https://plus.google.com/u/0/116651741222993143554/posts/5Eq5d9XgFqs
[6] https://twitter.com/#!/VUPEN/status/177518987972849664
[7] http://www.vupen.com/english/
[8] http://pwn2own.zerodayinitiative.com/
[9] https://twitter.com/#!/cBekrar/status/162236214295015424
[10] mailto:rei@heise.de