Pwn2Own-Wettbewerb: An Chrome versuchte sich keiner

Der erste Tag des Pwn2Own-Wettbewerbs war den Browsern Safari, Internet Explorer und Chrome gewidmet. Durch Losentscheid kam Safari unter MacOS X als erstes an die Reihe. Den ersten Versuch hatte das Team des französischen Sicherheitsdienstleisters VUPEN, das prompt Erfolg vermelden konnte und zum Beweis auf der Mac-Oberfläche einenTaschenrechner startete.

Apple hatte zwar versucht mit einer in letzter Sekunde verbesserten Version 5.0.4 von Safari die Hacks zu erschweren. Das schloss einige der Sicherheitslöcher auf die sich VUPEN vorbereitet hatte – allerdings nicht alle. Das Team benutzte eine Sicherheitslücke in WebKit, an deren Ausnutzung die Franzosen nach eigenen Aussagen zwei Wochen lang gearbeitet hatten. Die Details zu den Lücken hält der Veranstalter unter Verschluss, bis der Hersteller Patches ausliefert.

Auch der Internet Explorer 8 wurde sehr schnell durch den Iren und Metasploit-Entwickler Stephen Fewer gehackt – dieser musste allerdings ganze drei unterschiedlichen Sicherheitslücken miteinander verbinden, um den Protected Mode des Browsers und weitere Schutzmechanismen auszuhebeln.

Die Angriffe waren dabei alles andere als leicht. Die 64-Bit-Betriebssysteme besaßen alle den aktuellsten Patchstand und Sicherheitsmechanismen wie DEP (Data Execution Prevention) und ALSR (Address Space Layout Randomization) mussten überwunden werden, um den elektronischen Taschenrechner aufzurufen. Erschwerend hinzu kommt, dass die Prozesse des Internet Explorer unter Windows 7 standardmäßig mit einer niedrigen Verbindlichkeitsstufe laufen; somit können sie in normale Verzeichnisse mit der Verbindlichkeitsstufe mittel nicht schreiben, was aber für einen vollwertiges Pwn ebenfalls gefordert wurde (siehe auch: Rechte und Rechtschaffenheit).

An Chrome hat sich niemand versucht, obwohl es zwei Anmeldungen gab. Einer der Teilnehmer tauchte beim Wettbewerb nicht auf und der andere gab gegenüber den Organisatoren an, dass er keinen funktionierenden Exploit hätte. Google hatte für den Hack seines Browser eine zusätzliche Prämie von 20.000 US-Dollar ausgelobt. Damit blieb der Google-Browser zum dritten Mal in Folge ungehackt.

Für Verwirrung hinsichtlich der verwundbaren Versionen sorgen die neu eingeführten Regeln. Demnach sollte es offenbar eine Woche vor Beginn des Wettbewerbs einen Patch-Freeze der anzugreifenden Systeme geben. Um die angegriffene Hardware zu gewinnen, genügt es, den Exploit dort erfolgreich zum Laufen zu bringen. Um auch das Preisgeld zu gewinnen, muss der Exploit zusätzlich auf zwischenzeitlich neu herausgegebenen Versionen funktionieren. Auf der Konferenz wird derzeit spekuliert, Google hätte mögliche Lücken mit dem Update auf Chrome 10 vor zwei Tagen geschlossen, weshalb die Hacker gar nicht erst zum Wettbewerb antraten.

Am zweiten Tag kommen Firefox und ein Teil der Telefone iPhone 4, Blackberry Torch, Google Nexus S und Dell Venue dazu, und die Hacker stehen wieder in den Startlöchern um Preisgeld, Hardware und Ruhm einzuheimsen. Auch George Hotz ist darunter, allerdings greift dieser überraschenderweise nicht das iPhone an, sondern wird sich am Dell Venue versuchen. (dab)