Pwn2Own 2013: Sicherheitsmängel in Browsern

Die Zero Day Initiative (ZDI) hat vom 6. bis 8. März wieder zum Hackerwettbewerb Pwn2Own 2013 auf der Sicherheitskonferenz CanSecWest in Vancouver, British Columbia geladen. Wie jedes Jahr geht es darum, Schwachstellen in Browsern und anderer Software zu finden. Auch diesmal ließ der Erfolg nicht lange auf sich warten. Bereits am Donnerstagnachmittag waren die Browser Chrome, Firefox sowie der Internet Explorer 10 unter Windows 8 gehackt.

Das Team Vupen konnte über zwei bislang unbekannte Zero-Day-Lücken den aktuellen Internet-Explorer 10 auf einem aktualisierten Surface-Pro-Tablet mit Windows 8 über eine speziell präparierte Webseite auf einem Testsystem ausführen. Die Hackexperten erhielten dafür etwa 50.000 US-Dollar.

Ebenfalls 50.000 US-Dollar erhielt das Team von MWR Labs. Über eine speziell präparierte Webseite konnten sie die vermeintlich sichere Chrome-Sandbox angreifen und Code auf dem Windows-7-Testsystem ausführen. Dazu nutzten sie einen Exploit für Zero-Day-Lücken in Chrome. Zudem schafften sie es, über eine Lücke im Windows-Kernel aus der Chrome-Sandbox auszubrechen. Die Speicherverwürfelung (Adress Space Layout Randomization, ASLR) und die Datenausführungsverhinderung (Data Execution Prevention, DEP) konnten sie über eine Lücke in Chrome aushebeln und so bei einigen Windows-DLLs die Speicheradressen auslesen. Darüber führten sie schließlich Code mit Systemrechten aus. Diese Lücke hat Google kurzerhand mit dem bereits automatisch ausgelieferten Chrome-Sicherheitsupdate 25.0.1364.160 m geschlossen.

Darüber hinaus fand der durch einen Playstation-3-Hack bekannte George Hotz Lücken im Adobe Reader 11, wofür er 70.000 US-Dollar erhielt. Ihm ist es gelungen in die Sandbox der aktuellen Adobe-Reader-Version 11 (XI) einzudringen und schließlich wieder auszubrechen.

Und als ob Java nicht schon genug gebeutelt wurde in den letzten Monaten, fanden die Teilnehmer darin gleich vier neue Sicherheitslücken. Der Entdecker der ersten Lücken, James Forshaw, erhielt wohl angesichts der extremen Anfälligkeit der Software nur ein Preisgeld in Höhe von 20.000 US-Dollar. Die anderen Java-Spürnasen gingen ganz leer aus. Team Vupen hingegen erhielt für einen Flash-Exploit weitere 70.000 US-Dollar. Zudem können sie sich durch einen Hack von Firefox über weitere 60.000 US-Dollar freuen. Mozilla beseitigte die Lücke daraufhin binnen eines Tages mit den automatisch ausgelieferten Firefox-Versionen 19.0.2, ESR-17.0.4, Thunderbird 17.0.4 und ESR-17.0.4 und SeaMonkey 2.16.1.

Apples Safari-Browser unter Mac OS X Mountain Lion zeigte sich beim diesjährigen Hackertreff als unangreifbar. Damit ersparte sich Apple ein Preisgeld von 65.000 US-Dollar. Wie in den Teilnahmebedingungen vereinbart, sind die Hacker verpflichtet, die Exploits an die jeweilige Herstellerfirma auszuhändigen.