PHP Magazin

PHP, JavaScript, Open Web Technologies
X

WTC / IPC – die Serie! Viele spannende Themen – nicht nur zu den Konferenzen!

Schwer gebeutelt: Chrome-Browser wird zweimal in einer Woche gehackt

Eric Herrmann
Im großen Browser-Hackathon Pwn2Own in Vancouver sowie im Pwnium-Wettbewerb hat der Chrome-Browser gleich zweimal von findigen Hackern eine Abreibung kassiert. Eine der Lücken bleibt weiterhin offen! Bei den Exploits handelt es sich um eine Lücke, die Cross-Site-Scripting ermöglicht sowie um einen Bug in der History-Navigation. Die Sandbox, die Data Execution Prevention und die Address Space Layout Randomisation wurden dabei ausgehebelt.

Die Autoren des Exploits kommen von der französischen Firma VuPen, die Sicherheitslücken in Software entdeckt und diese geheim an meist staatliche Auftraggeber verkauft. Da es nicht Teil der Pwn2Own-Policy ist, den Code des Hacks freizugeben, spaziert VuPen mit dem weiterhin geheimen Wissen um die Sicherheitslücke in Chrome nach Hause. Mit ihr können beliebige Anwendungen aus dem Browser heraus gestartet werden.

Google motiviert die Hacker mit hohen Geldpreisen von insgesamt drei Millionen US-Dollar. So gab es beim Pwnium-Contest 60.000 US-Dollar für den Gewinner Sergey Glazunov. Er hat den Preis in der Kategorie "Full Chrome exploit" gewonnen. Zu ihr zählen Sicherheitslücken, die ausschließlich von Chrome-Komponenten abhängig sind.

Da bei Pwnium das Geld nur überwiesen wird, wenn der Hacker-Kniff preisgegeben wird, ist immerhin diese Lücke geschlossen worden. Der Patch zu den Exploits wurde Chrome-Anwendern wenig später per Auto-Update zur Verfügung gestellt.

Prinzipiell soll es nicht möglich sein, dass aus dem Chrome Browser heraus Anwendungen gestartet werden, da Chrome in einer Sandbox läuft. In diesem geschlossenen System ist kein Zugriff auf andere Anwendungen möglich, die auf dem Computer installiert sind. Die VuPen-Menschen haben allerdings binnen fünf Minuten das Gegenteil bewiesen und den Windows-Taschenrechner aus einer fingierten Website heraus gestartet.

Verwandte Themen: 

Kommentare

Ihr Kommentar zum Thema

Als Gast kommentieren:

Gastkommentare werden nach redaktioneller Prüfung freigegeben (bitte Policy beachten).