Exploit-Händler hortete Browser-Lücke jahrelang
Unter anderem mit einer Internet-Explorer-Lücke räumte Vupen im Frühjahr bei einem Hacking-Wettbewerb satte Preisgelder ab. Wie sich herausstellte, hat diese allerdings schon einige Jahre auf dem Buckel.
- Ronald Eikenberg
Der französische Schwachstellen-Händler Vupen hat Informationen über eine von ihm entdeckte Internet-Explorer-Lücke veröffentlicht, die er beim diesjährigen Hacking-Wettbewerb Pwn2Own einsetzte. Dabei rückte das Unternehmen mit einem Detail heraus, das durchaus Diskussionsstoff liefert: Vupen gibt an, die Schwachstelle bereits im Februar 2011 entdeckt zu haben.
Statt umgehend den Hersteller zu informieren, hielt das Unternehmen daraufhin jahrelang die Füße still. Erst am 14. März dieses Jahres – also drei Jahre nach Entdeckung – meldete Vupen die Lücke während des Pwn2Own-Wettbewerbs an Microsoft und den Veranstalter, die Zero Day Initiative von Hewlett Packard.
Das Geschäft mit den Lücken
Vupen verdient sein Geld damit, Schwachstellen und dazu passende Exploits seiner zahlenden Kundschaft zugänglich zu machen. Zum Kundenstamm des Unternehmens sollen auch Ermittlungsbehörden zählen. Der Schwachstellen-Händler beschäftigt eigene Sicherheitsexperten damit, Lücken in wichtigen Produkten zu finden und prahlt im Erfolgsfall auch schon mal damit, dass ein neuer Zero-Day-Exploit ins Sortiment aufgenommen wurde.
Ob Vupen seinen Kunden auch die Internet-Explorer-Lücke angeboten hat, ist nicht bekannt. Sie erlaubt es Angreifern, aus der Browser-Sandbox auszubrechen und Dateien in beliebige Pfade zu schreiben. Betroffen waren die IE-Versionen 8 bis 11. Microsoft hat das Sicherheitsloch an seinem Juni-Patchday gestopft; drei Monate, nachdem Vupen seine Informationen herausgerückt hatte.
Googles gerade gestartetes Project Zero könnte dafür sorgen, dass der Schwachstellen-Katalog von Unternehmen wie Vupen dünner wird. Ein Team von Elite-Hackern begibt sich im Auftrag von Google auf die Suche nach Zero-Day-Lücken in Soft- und Hardware, die für die Sicherheit der Internet-Nutzung relevant ist. Doch statt die Funde zu Geld zu machen, sollen die Informationen mit den jeweiligen Herstellern geteilt werden. Diese haben dann bis zu 90 Tage Zeit, um die Lücke zu schließen, ehe die Informationen veröffentlicht werden. (rei)