Hacking
Deutscher hebelt bei Hacker-Wettbewerb den Internet Explorer 8 aus
Ein deutscher Informatik-Student hat beim Hacker-Wettbewerb Pwn2Own, der im Rahmen der Sicherheitskonferenz CanSecWest veranstaltet wird, ein Browser-Triple geschafft: Er »knackte« sowohl den Internet Explorer als auch Safari und Firefox.
Den Wettbewerb Pwn2Own auf der CanSecWest sponsert die IT-Sicherheitsfirma Tipping Point. Den White-Hat-Hackern, die live zeigen, wie sich Sicherheitslücken in Programmen ausnutzen lassen, winken Geld- und Sachpreise.
Dem Informatik-Studenten »Nils« (seinen vollen Namen wollte er nicht nennen) aus Oldenburg gelang es am ersten Tag des Wettbewerbs, die Sicherheitsmechanismen von IE, Safari und Firefox auszuhebeln. Die Teilnehmer müssen es schaffen, auf einem Zielrechner, auf dem diese Browser laufen, eigenen Code auszuführen.
Nils schaffte dies bei den drei genannten Browsern. Als erstes habe der Student mit einem »geschmeidigen Exploit«, so Terri Forslof, Manager of Security Response bei Tipping Point, die Schutztechnologien bei Microsofts neuem Browser Internet Explorer 8 ausgetrickst. Der Lohn der Mühe: das Sony-Vaio-Notebook, auf dem sich Nils einhackte, und 5000 Dollar.
Anschließend gelang es Nils, sich mithilfe bislang unbekannter Sicherheitslücken in Safari und Firefox Zugang zu einem MacBook und einem anderen Vaio zu verschaffen. Ein beindruckendes Resultat – und eine Ohrfeige für Microsoft, das den neuen IE 8 vor allem für dessen verbesserte Sicherheitsfunktionen rühmt.
Details zu den Sicherheitslöchern werden allerdings nicht veröffentlicht. Die Zero-Day-Initiative von Tipping Point informiert vorab die Hersteller der Software, damit diese die Lücken schließen können. Erst dann sollen die Schwachstellen publik gemacht werden.
