Chrome und Safari beim Pwn2Own geknackt

Am zweiten Tag des Hacker-Wettbewerbs haben die Teilnehmer insgesamt 450.000 US-Dollar abgeräumt. Auch George Hotz zählt zu den Gewinnern. Veranstaltet wird der Pwn2Own von der zu Hewlett Packard gehörenden Zero-Day-Initiative (ZDI).

In Pocket speichern vorlesen Druckansicht 21 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Ronald Eikenberg

Auch am zweiten und letzten Tag des Hacker-Wettbewerbs Pwn2Own haben die teilnehmenden Sicherheitsexperten wieder zahlreiche Opfer gefunden. So gelang es etwa dem chinesischen Keen Team sowohl Apple Safari als auch Adobe Flash über bislang unbekannte Schwachstellen zur Code-Ausführung zu bringen.

Das Team des Exploit-Brokers Vupen hat einen Rechner über Google Chrome kompromittiert; einschließlich Sandbox-Ausbruch. Ein anonymer Teilnehmer präsentierte ebenfalls einen Ausbruch aus der Chrome-Sandbox, allerdings nutzte er dafür einen Bestandteil eines bereits zuvor präsentierten Angriffs, weshalb ihm der Sieg nur teilweise anerkannt wurde.

Auch George Hotz (aka geohot) konnte eine Geldprämie abräumen, er demonstrierte einen erfolgreichen Angriff auf Firefox, bei dem er den Browser dazu brachte, Code auszuführen. Außerdem wurde eine Attacke auf den Internet Explorer 11 gezeigt.

Die angegriffenen Programmen liefen laut Teilnahmebedingungen jeweils in ihrer aktuellen Version auf einem vollständig gepatchten Windows 8.1 oder Mac OS X Mavericks. Wie immer wurden die Details über die bislang unbekannte Schwachstellen nicht veröffentlicht, sondern vertraulich an die jeweiligen Hersteller gemeldet.

Der Exploit Unicorn Prize, an den ein Preisgeld in Höhe von 150.000 US-Dollar hängt, wurde nicht vergeben. Die Voraussetzung war, einen mit Microsoft EMET geschützten Rechner anzugreifen und darauf Code mit SYSTEM-Rechten zur Ausführung zu bringen.

Siehe hierzu auch:

(rei)