Browser unter Beschuss
Auf der Sicherheitskonferenz CanSecWest findet auch in diesem Jahr der Hacker-Wettbewerb "Pwn2Own" statt, bei dem Experten durch die Demonstration neuer Sicherheitslücken bares Geld und die geknackten Geräte gewinnen können. Schon am ersten Tag hat der Oldenburger Informatik-Student "Nils" - der seinen vollen Namen nicht nennen wollte - ein beachtliches Browser-Triple geschafft und sowohl Internet Explorer, Safari als auch Firefox geknackt, berichtet Cnet.
"Das ist durchaus außergewöhnlich, wenngleich mehrere Faktoren existieren, von denen ein solcher Erfolg abhängen kann", meint Christian Funk, Virus Analyst bei Kaspersky Lab. Denkbar sei etwa, dass ähnliche Lücken angegriffen wurden. Ob das stimmt, bleibt vorerst ein Geheimnis. Die Lücken werden von der "Zero Day Initiative" des Wettbewerbssponsors Tipping Point in Obhut genommen, damit die Hersteller die Schwachstellen in Ruhe beheben können.
Beim Hacker-Wettbewerb gegen Browser geht es darum, unter Zuhilfenahme eines unvorsichtigen Klicks auf einen bösartigen Link erfolgreich Programmcode auf dem Zielrechner auszuführen. Als erstes habe Nils mit einem "geschmeidigen Exploit" Microsofts neueste Schutztechnologien beim Internet Explorer 8 ausgetrickst, so Terri Forslof, TippingPoint Manager of Security Response. Damit hat der Oldenburger nicht nur den neuen Browser schon vor dem offiziellen Start heute Abend bloßgestellt, sondern auch das damit geknackte Wettbewerbs-Notebook Sony Vaio und 5.000 Dollar gewonnen.
In weiterer Folge konnte er auch die aktuellen Versionen von Safari (auf einem MacBook) und Firefox (auf dem Sony Vaio) mit bislang unbekannten Lücken knacken. Damit hat er bereits am ersten Tag des Wettbewerbs bei besonders restriktiven Regeln ein beeindruckendes Triple geschafft. Das MacBook konnte er allerdings nicht gewinnen, denn Safari war zuvor schon mit einem anderen Trick geknackt worden. Der erfolgreiche Hacker war Charlie Miller, ein besonders auf Apple-Produkte spezialisierter Sicherheitsexperte der Independent Security Evaluators.