Neues von der Browsersicherheitsfront (update)
Freitag, 11.3.2011, 08:21 > daMaxFür die technisch etwas weniger Versierten unter euch möchte ich mal kurz den Pwn2Own-Wettbewerb in ein paar Worten zusammenfassen.
Worum gehts? Bei diesem Wettbewerb versuchten die Teilnehmer, bekannte Software zu hacken, d.h. Sicherheitslücken auszunutzen, um Kontrolle über das Betriebssystem zu erlangen. Jeder, der das schafft, kann euren Rechner zu den übelsten Zwecken nutzen, z.B. eure Passwörter abgreifen, Spam verschicken, Daten löschen usw.
Warum tun die das? Um den Softwareherstellern Mängel ihrer Produkte aufzuzeigen, so dass etwas dagegen getan werden kann. Und natürlich um die ausgelobte, 15.000$ Preisgeld einzuheimsen.
Woher kommt der doofe Name? Das ist Hackerhumor, den ich nicht in einem Satz erklären kann 
Pwn müsst ihr schon selber nachschlagen.
Soviel mal vorweg. Am ersten Tag ging es um Browser. Ich denke, das Thema sollte jeden interessieren, schließlich verwendet wir alle tagtäglich einen oder mehrere Browser. Als erstes kam Apples Safari dran und wurde direkt indirekt Opfer einer Attacke. Dem Team des französischen Sicherheitsdienstleisters VUPEN gelang es, auf dem umgebenden Betriebssystem einen Taschenrechner zu starten. Das klingt jetzt für unbedarfte Ohren nicht sonderlich schlimm, ist es aber. Denn anstelle eines Taschenrechners kann eben auch jeder andere Müll gestartet werden. Unterschätzt das bloß nicht!
Danach ging es Internet Explorer 8 an den Kragen. Stephen Frewer, der sich daran versuchte, hatte ebenfalls Erfolg. Allerdings musste er dazu ganze 3 Lücken im IE ausnutzen, es war also kein leichtes Spiel. Dazu kommt, dass moderne 64-Bit-Betriebssysteme doch einige Schutzmechanismen eingebaut haben, die es zu überwinden gilt.
Die Überraschung für mich war, dass sich niemand an Google Chrome versuchte. Einer der angemeldeten Teilnehmer tauchte nicht auf, der andere gab an, dass er keinen funktionierenden Exploit (=Sicherheitslücke) finden konnte. Damit blieb Google Chrome zum dritten Mal in Folge ungehackt. Ob das jetzt nur eine clevere PR-Masche von Google ist? Ich weiß es nicht. Trotzdem beglückwünsche ich Google dazu und spreche mal wieder eine Empfehlung für diesen Browser aus, der mir inzwischen wirklich gute Dienste leistet.
Am zweiten Tag sind Smartphones an der Reihe. Wenn ihr wollt, werde ich euch auch davon in aller Kürze berichten.
Update: e.s. macht mich darauf aufmerksam, dass es ein Fehler in Webkit ist, der Renderengine, die Safari benützt. Damit ist das Problem wesenlich gravierender, weil Webkit eben von vielen anderen Programmen mit benutzt wird. Danke, e.s.!
(alle informationen wurden zusammengeklaubt aus diesem heise-artikel)
Artikel als RSS
Meine erste Tastatur hatte noch viel viel geilere…
… nur, dass das kein Browser ist, sondern nur eine Google-Abfragemaske auf Steroiden und mit garantierter Datenabschnorchelung. Die kriegen so schon genug Daten von mir mit, die muß ich nicht noch via Chrome und Android extra damit beliefern.
verantwortlich ist eine lücke in webkit, die auf macs, iphones/ipods/ipads und jetzt auch blackberries den hack ermöglicht. ist also nicht safari-only, sondern betrifft ALLE anwendungen, die webkit zum rendern nehmen, also auch rss-reader, maps-anwendungen usw. usf.
im ernst, allein die tatsache, dass das teil von google kommt, ist für mich ein absolutes no-go, deswegen werd ich chrome auch nicht verwenden, solang ich nicht unbedingt muss.
zum kotzen. ich komm mir vor wie damals, als es für ie die erste drive-by-hacksite gab, man steht nur noch mit runtergelassenen hosen da. und jetzt kann man *speziell* auf smartphones nicht mal mehr alternativen verwenden. safari? angreifbar. opera mobile? routet allen traffic über opera-server und hat deshalb viel zu viel kontrolle über meine surferei. firefox mobile? leider nur ein pipe dream. chrome? gibts nur auf android. außerdem:
@Moss: danke für den chrome-datenabgriff-hinweis, jetzt bin ich wenigsten nimmer der einzige, der das predigt
fazit: auf meinem apfelfon schau ich nach wie vor in die röhre (und irgendwann in die grinsende fresse von nem bekloppten script-kiddie). auf meinem rechner bleibt ich bei meinem uralt-firefox, solang es irgend geht
lieber vorredner... danke das ihr mich in meiner chrome meinung unterstützt
da sammelt google zu viel.
Leider finde ich aber auch die FF google verbindung schon fast zu stark. Bis man da alles draussen hat was mit google zu tun hat ist man ne weile beschaeftigt. Das fängt beim Suchfeld an und endet mit dem pishingfilter...
der gute alte lynx reicht oftmals auch noch aus.
Der Vollständigkeit halber: WebKit wird auch von Chrome als Rendering-Engine eingesetzt. Somit dürfte auch Chrome von dem WebKit Bug betroffen sein.
@Daniel Baulig: ja, und Google hat schon reagiert:
http://www.heise.de/newsticker/meldung/Pwn2Own-Wettbewerb-Google-patcht-Chrome-Luecke-1207098.html
Apple schießt dabei allerdings gleich mal den Vogel ab