In dieser Woche fand fand der 8. Pwn2Own-Wettbewerb statt, bei dem es darum geht unbekannte Schwachstellen und Sicherheitslücken in bekannter Hardware und Software aufzudecken. In diesem Jahr ist das Ergebnis aus Nutzer-Sicht gesehen katastrophal, denn alle vier großen Browser konnten gehackt und beliebiger Code auf dem Rechner ausgeführt werden. Auch die Sicherheitsbarrieren des Chrome-Browsers konnten überwunden werden, was dem Entdecker ein Rekord-Preisgeld von 110.000 Dollar eingebracht hat.
Die Pwn2Own-Konferenz gilt seit jeher als Gradmesser für die Sicherheit eines Browsers und deckt sehr oft schwerwiegende Sicherheitslücken auf. Bei dem Contest haben die Teilnehmer 30 Minuten Zeit um auf einem ihnen unbekannten Gerät die installierte Software zu hacken, so dass beliebiger Code auf dem Betriebssystem ausgeführt werden kann. Innerhalb des Contests wird dann so lange stillschweigen über die Lücke vereinbart, bis der Hersteller die Lücke geschlossen und die Updates verteilt hat. Der Hacker bekommt für seine Entdeckung ein Preisgeld.
In der Vergangenheit hatte Chrome eine relativ gute Bilanz beim Pwn2Own-Wettbewerb und konnte mehrere Jahre in Folge nicht gehackt werden. Doch im Jahr 2013 wurden gleich drei Sicherheitslücken und 2014 immerhin noch eine aufgedeckt – und auch 2015 geht dies nun weiter. Der Hacker JungHoon Lee hat eine Schwachstelle in Chrome entdeckt, die es ihm erlaubt beliebigen COde auszuführen und bekommt dafür ein Rekord-Preisgeld von 110.000 Dollar: 75.000 Dollar für den eigentlichen Bug, 25.000 Dollar dafür dass er den Code im Betriebssystem ausführen konnte und 10.000 Dollar dafür, dass der Hack auch in der Beta-Version von Chrome erfolgreich war.
Aber verglichen mit anderen Browser-Herstellern steht Chrome dennoch an der Spitze, denn auch der Firefox, Microsofts Internet Explorer und Apples Safari konnten erfolgreich gehackt werden. Es war also kein wirklich gutes Jahr für die großen Browser. Natürlich ist es aber besser wenn solche großen Lücken auf dieser Konferenz aufgedeckt werden, als anderswo im Netz und dort gleich publiziert werden. Mozilla will seine Lücke schon gestern Abend geschlossen haben.
Hier die Rangliste der Browser:
– 4 Sicherheitslücken im Internet Explorer (tested on Windows 8.1)
– 3 Sicherheitslücken im Mozilla Firefox (tested on Windows 8.1)
– 2 Sicherheitslücken im Safari (tested on OS X Yosemite)
– 1 Sicherheitslücken im Chrome Browser (tested on Windows 8.1)
In einigen Fällen werden die entdeckten Sicherheitslücken nach dem Patch bekannt gegeben, wenn es sich um grundlegende Dinge handelt werden sie auch oft verschwiegen um nicht ähnlichen Methoden Tür und Tor zu öffnen. Google hat sich bisher noch nicht über die Chrome-Lücke geäußert, dürfte aber ebenfalls einen Patch in Arbeit haben. Insgesamt wurden auf der Konferenz mehr als 557.000 Dollar für entdeckte Sicherheitslücken ausgegeben – ein Schnäppchen, wenn man bedenkt was man mit solch großen Entdeckungen auf der dunklen Seite der Macht des Internets anfangen könnte.
