In dieser Woche fand fand der 8. Pwn2Own-Wettbewerb statt, bei dem es darum geht unbekannte Schwachstellen und SicherheitslĂŒcken in bekannter Hardware und Software aufzudecken. In diesem Jahr ist das Ergebnis aus Nutzer-Sicht gesehen katastrophal, denn alle vier großen Browser konnten gehackt und beliebiger Code auf dem Rechner ausgefĂŒhrt werden. Auch die Sicherheitsbarrieren des Chrome-Browsers konnten ĂŒberwunden werden, was dem Entdecker ein Rekord-Preisgeld von 110.000 Dollar eingebracht hat.

Die Pwn2Own-Konferenz gilt seit jeher als Gradmesser fĂŒr die Sicherheit eines Browsers und deckt sehr oft schwerwiegende SicherheitslĂŒcken auf. Bei dem Contest haben die Teilnehmer 30 Minuten Zeit um auf einem ihnen unbekannten GerĂ€t die installierte Software zu hacken, so dass beliebiger Code auf dem Betriebssystem ausgefĂŒhrt werden kann. Innerhalb des Contests wird dann so lange stillschweigen ĂŒber die LĂŒcke vereinbart, bis der Hersteller die LĂŒcke geschlossen und die Updates verteilt hat. Der Hacker bekommt fĂŒr seine Entdeckung ein Preisgeld.

In der Vergangenheit hatte Chrome eine relativ gute Bilanz beim Pwn2Own-Wettbewerb und konnte mehrere Jahre in Folge nicht gehackt werden. Doch im Jahr 2013 wurden gleich drei SicherheitslĂŒcken und 2014 immerhin noch eine aufgedeckt – und auch 2015 geht dies nun weiter. Der Hacker JungHoon Lee hat eine Schwachstelle in Chrome entdeckt, die es ihm erlaubt beliebigen COde auszufĂŒhren und bekommt dafĂŒr ein Rekord-Preisgeld von 110.000 Dollar: 75.000 Dollar fĂŒr den eigentlichen Bug, 25.000 Dollar dafĂŒr dass er den Code im Betriebssystem ausfĂŒhren konnte und 10.000 Dollar dafĂŒr, dass der Hack auch in der Beta-Version von Chrome erfolgreich war.
Aber verglichen mit anderen Browser-Herstellern steht Chrome dennoch an der Spitze, denn auch der Firefox, Microsofts Internet Explorer und Apples Safari konnten erfolgreich gehackt werden. Es war also kein wirklich gutes Jahr fĂŒr die großen Browser. NatĂŒrlich ist es aber besser wenn solche großen LĂŒcken auf dieser Konferenz aufgedeckt werden, als anderswo im Netz und dort gleich publiziert werden. Mozilla will seine LĂŒcke schon gestern Abend geschlossen haben.

Hier die Rangliste der Browser:
– 4 SicherheitslĂŒcken im Internet Explorer (tested on Windows 8.1)
– 3 SicherheitslĂŒcken im Mozilla Firefox (tested on Windows 8.1)
– 2 SicherheitslĂŒcken im Safari (tested on OS X Yosemite)
– 1 SicherheitslĂŒcken im Chrome Browser (tested on Windows 8.1)

In einigen FĂ€llen werden die entdeckten SicherheitslĂŒcken nach dem Patch bekannt gegeben, wenn es sich um grundlegende Dinge handelt werden sie auch oft verschwiegen um nicht Ă€hnlichen Methoden TĂŒr und Tor zu öffnen. Google hat sich bisher noch nicht ĂŒber die Chrome-LĂŒcke geĂ€ußert, dĂŒrfte aber ebenfalls einen Patch in Arbeit haben. Insgesamt wurden auf der Konferenz mehr als 557.000 Dollar fĂŒr entdeckte SicherheitslĂŒcken ausgegeben – ein SchnĂ€ppchen, wenn man bedenkt was man mit solch großen Entdeckungen auf der dunklen Seite der Macht des Internets anfangen könnte.