Schwachstellen-Oscars verliehen
Auf der Black-Hat-Konferenz in Las Vegas wurden Entdecker von Sicherheitslücken auch in diesem Jahr mit den Pwnie Awards geehrt. Der Preis in der Kategorie "Most Epic FAIL" ging indes nach Redmond.
- Ronald Eikenberg
Auch in diesem Jahr wurden auf der Black-Hat-Konferenz in Las Vegas wieder die Pwnie Awards verliehen, die Entdecker von Sicherheitslücken in verschiedenen Kategorien auszeichnen. Den Preis in der Kategorie "Bester server-seitiger Fehler" ging in diesem Jahr an Meder Kydyraliev für eine Schwachstelle im Apache-Struts2-Framework. Mit einer HTTP-Anfrage mit fünf speziellen Parametern gelang es ihm, beliebigen Java-Code auf dem Server auszuführen.
Die "beste client-seitige Lücke" entdeckte Sami Koivu: Mit seinem Exploit hat er das Sicherheitsmodell von Java unterwandert und konnte so Code mit den Rechten des angemeldeten Anwenders ausführen. Dionysus Blazakis hat nach Meinung der Jury mit seinem Paper "Flash Pointer Inference and JIT Spraying" die innovativste Forschungsarbeit geleistet.
Wenig Freude dürfte Absolute Software die Auszeichnung in der Kategorie "Faulste Herstellerreaktion" (Lamest Vendor Response) bereiten: Das Unternehmen reagiert auf die Meldung einer Sicherheitslücke in der Software LANRev sinngemäß mit den Worten: "Ist es theoretisch möglich, dies auszunutzen? Natürlich, aber bisher hatte noch keiner unserer Kunden ein entsprechendes Problem gemeldet. Sobald ein Kunde seine Bedenken äußert, werden wir ihm einen Patch liefern."
Microsoft wurde in der Kategorie "Most Epic FAIL" geehrt. Ein Fehler im XSS-Filter (Cross Site Scripting) des Internet Explorer 8 ermöglichte genau das, was der Filter verhindern sollte: Cross Site Scripting – auf Seiten, die eigentlich sicher waren. (rei)
