zurück zum Artikel

Pwn2Own: Auch Firefox geknackt

Nach Google Chrome [1] und Microsofts Internet Explorer [2] haben sich die Teilnehmer des Hackerwettbewerbs Pwn2Own [3] auf der Sicherheitskonferenz CanSecWest [4] auch den Firefox vorgenommen. Vincenzo Iozzo und Willem Pinckaers konnten dem Mozilla-Browser über eine bislang unbekannte Sicherheitslücke – einen Zero-Day-Exploit – Schadcode unterschieben und gewannen damit den mit 30.000 US-Dollar dotierten zweiten Preis des Wettbewerbs. Der erste Preis und damit 60.000 Dollar gingen an das Team der Sicherheitsfirma Vupen [5] für das Knacken von Chrome und IE.

Pinckaers und Iozzo nahmen sich Firefox in der aktuellen stabilen Version 10.0.2 unter Windows 7 SP 1 vor. Wie ZDNet berichtet [6], nutzten die beiden eine "Use-after-free"-Schwachstelle aus, bei der auf einen bereits freigegebenen Speicherbereich zugegriffen wird,und hebelten die die Schutzfunktionen Datenausführungsverhinderung (Data Execution Prevention, DEP) sowie Speicherverwürfelung (Address Space Layout Randomization, ASLR) aus. (odi [7])


URL dieses Artikels:
http://www.heise.de/-1468846

Links in diesem Artikel:
[1] https://www.heise.de/meldung/Google-Chrome-auf-Ansage-geknackt-1434161.html
[2] https://www.heise.de/meldung/Pwn2Own-Teilnehmer-knacken-auch-Internet-Explorer-1467708.html
[3] http://pwn2own.zerodayinitiative.com/
[4] http://cansecwest.com/
[5] http://www.vupen.com
[6] http://www.zdnet.com/blog/security/researchers-hack-into-newest-firefox-with-zero-day-flaw/10663
[7] mailto:odi@ix.de