Pwn2Own: Safari und Chrome gehackt

Einmal mehr hat der Pwn2Own-Wettbewerb in Vancouver bewiesen, dass die Zeit nach dem Schließen bekannter Sicherheitslücken nur die Zeit vor dem Schließen neuer Sicherheitslücken ist. In komplexer Software wie Web-Browsern, die sich auch stetig weiterentwickelt, gibt es immer wieder unsichere Komponentenketten, die Angreifern aus dem Internet die vollständigen Kontrolle des Computers ermöglichen.

So konnte Jung-hoon Lee, besser bekannt unter seinem Hacker-Pseudonym Lokihardt, einmal mehr die Sandbox von Safari durch modifizierte Daten umgehen und sogar den vollständigen Zugriff auf OS X erlangen. Das Opfer müsste lediglich die entsprechende Webseite aufrufen. Ähnlich erfolgreich war auch Tencent Security bei ihren Sicherheitslücken in Safari, um die Kontrolle über das System zu erlangen.

Auch Google Chrome erging es nicht besser, dessen Sicherheitsmechanismen von 360Vulcan Team ausgeschaltet wurden, um schließlich Windows kontrollieren zu können. Die übrigen Angriffe des Wettbewerbs konzentrierten sich auf Adobe Flash, wobei ein Angriff von Microsofts neuem Web-Browser Edge vereitelt werden konnte.


Insgesamt 282.500 US-Dollar Preisgeld wurden an die Entdecker der Sicherheitslücken ausgezahlt. Die Sicherheitslücken wurden natürlich geheimgehalten und die Hersteller informiert. Hier bleibt abzuwarten, wie schnell darauf mit einem Update reagiert wird. Erfahrungsgemäß ist Google in dieser Angelegenheit deutlich schneller als Apple.

Weiterführende Links:

Kommentare

tranquillity18.03.16 11:20
Immer dieses blöde Flash!




MacNik
MacNik18.03.16 11:44
Selbst Schuld wer Flash noch verwendet. Die Löchrigkeit ist lange bekannt und es wird nicht besser.
*apple* „Heutzutage kennen die Leute von allem den Preis und von nichts den Wert.“ Oskar Wilde
karpati
karpati18.03.16 12:52
Manche MÜSSEN leider Flash verwenden, wenn die Firmen Videokonferenzplattform Adobeconnect heißt.

Und nein, eine andere genauso komfortable Plattform konnten wir nicht finden und wir haben schon so einiges getestet.
john
john18.03.16 13:13
ciscos webex habt ihr euch angesehen?
biete support. kostenlos, kompetent und freundlich. wähle zwei.
karpati
karpati21.03.16 06:59
@john
Haben wir. Auch ReadyTalk, join.me etc.
Häufiges Problem: Du kannst keine Präsentationen im vorab hochladen, die du während des Meetings/Webinars brauchst.

Auch lässt bei vielen die Integration mit Marketo (wird genommen, um die Einladungen zu generieren und nachzuverfolgen) sehr zu wünschen übrig.

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen