Pwn2own: Über eine halbe Million Preisgeld für 0day-Sicherheitslücken

Flash, Firefox, IE, Chrome und Safari gehörten zu den Opfern des Pwn2own-Wettbewerbs, bei dem es darum geht, Systeme über bislang unbekannte Sicherheitslücken zu kapern.

In Pocket speichern vorlesen Druckansicht 12 Kommentare lesen
Pwn2own: Über eine halbe Million Preisgelder für 0day-Sicherheitslücken
Lesezeit: 2 Min.

Das Konzept von Pwn2own ist einfach: Hack dich in ein aktuelles System über unbekannte Sicherheitslücken und du darfst es behalten. Da mittlerweile der Wert solcher Zeroday-Lücken den eines Notebooks weit übersteigt, gibt es zusätzliche Preisgelder. Über 500.000 US-Dollar zahlten die Pwn2Own-Veranstalter von HPs Zero Day Initiative (ZDI) an die Sicherheitsforscher aus, die dafür kritische Lücken in Windows, Internet Explorer, Flash, Chrome, Safari demonstrierten

Die Statistik der Veranstaltung ist beeindruckend; im Lauf von zwei Tagen präsentierten die Forscher

  • 5 Fehler in Windows
  • 4 Fehler in Internet Explorer 11
  • 3 Fehler in Mozilla Firefox
  • 3 Fehler in Adobe Flash
  • 2 Fehler in Apples Safari
  • 1 Fehler in Google Chrome

Die attackierten Programme liefen dabei bis auf Safari alle unter einem Windows mit allen Patches; Apples Browser kam auf einem Max-OS-X-System zum Einsatz. Die Sicherheitsforscher demonstrierten damit wieder einmal gründlich, dass gezielten Angriffen von Experten letztlich kein System widerstehen kann.

Alle Informationen zu den Sicherheitslücken werden an die Hersteller weitergegeben, um denen die Möglichkeit zu geben, diese zu schließen. Bis dahin schützen etwa die Intrusion Prevention Systeme von HP, die der Veranstalter bereits mit passenden Signaturen zum Aufspüren und Blockieren der Exploits versieht. Neben der PR-Wirkung ist es vor allem dieser Informationsvorsprung, der HP/ZDI rund 552.000 US-Dollar wert ist. Sicherheitsforscher hingegen jammern, dass die Informationen weit unter Wert verschleudert wurden; auf dem Schwarzmarkt, auf dem sich unter anderem auch Geheimdienste eindecken, werden funktionsfähige Remote-Code-Execution-Exploits für sechsstellige Beträge gehandelt. (ju)