Mobile Pwn2Own: Internet Explorer 11 geknackt, Chrome schon geflickt
Die von Pinkie Pie benutzte Chrome-Lücke wurde von Google mittlerweile geschlossen. Forscher der Zero Day Initiative gelang es unterdessen, Internet Explorer 11 auf einem Surface Pro zu übernehmen.
- Fabian A. Scherschel
Nachdem am ersten Tag des Mobile-Pwn2Own-Wettbewerbes in Tokio der iOS-Browser Safari und Android selbst angegriffen wurden, nahmen sich die Sicherheitsforscher am zweiten Tag auch Chrome auf Android und Internet Explorer 11 auf einem Surface Pro zur Brust. Hacker Pinkie Pie gelang es, die Chrome-Sandbox auf einem Nexus 4 sowie dem Samsung Galaxy S4 zu durchbrechen.
Zwei Forscher der Zero Day Initiative (ZDI) zeigten eine Lücke in IE 11, mit der sie Schadcode über das Netz ausführen und das Surface-Tablett komplett übernehmen konnten. Da die ZDI den Pwn2Own-Wettbewerb organisiert, fand die Vorführung des IE-11-Exploits außerhalb der Konkurrenz des Wettbewerbes statt.
Die von Pinkie Pie genutzte Chrome-Lücke hat Google mittlerweile geschlossen. Die Google-Entwickler gratulierten dem Hacker in ihrer Meldung zum erneuten "Titelgewinn" — das Preisgeld von 50.000 US-Dollar kommentierten sie mit den Worten "Ka-po-po-po-pow!!!" Das Update wird automatisch an alle Chrome-Ausgaben auf Windows, Mac OS X, Linux und für den Chrome Frame ausgeliefert. Die geschlossenen Speicherverarbeitungsprobleme werden kollektiv unter der CVE-Nummer 2013-6632 geführt.
Insgesamt gewannen die Teilnehmer an den zwei Wettbewerbstagen 117.500 der bereitgehaltenen 300.000 US-Dollar Preisgeld. (fab)
