13.03.2012
Sicherheit
Pwn2own: IE 9 und Firefox gehackt
Autor: Thorsten Eggeling
Beim Hackerwettbewerb Pwn2own auf der CanSecWest 2012 in Vancouver haben die Hacker einige Erfolge zu verbuchen. Bis auf Apples Safari wurden bislang alle Browser unter Umgehung der Sandbox gehackt.
Nachdem der bisher als sicher geltende Browser Chrome vom Team des französischen Sicherheitsunternehmens VUPEN gehackt wurde, hat dasselbe Team nun auch den Internet Explorer 9 kompromittiert. Dabei nutzte das Team dieselbe Methode, die bereits bei Chrome zum Einsatz kam.
Zuerst verwendeten sie für den Hack zwei bisher ungenutze Zero-Day-Lücken im Internet Explorer und verursachten mit einem Exploit einen Puffer-Überlauf auf dem Heap. Anschließend umgingen sie die mit Windows Vista eingeführten Schutzfunktionen zur Datenausführungsverhinderung (DEP) und die Speicherverwürfelung (ASLR). Ein Speicherfehler ermöglichte ihnen dann, unter Umgehung sämtlicher Sicherheitsupdates aus der Sandbox auszubrechen. Um Schadcode auf den Rechner zu installieren, muss ein Opfer dann nur noch verführt werden, eine speziell präparierte Webseite zu besuchen.
Der Hack des Internet Explorers 9 gelang dem Team von Vupen auf einem vollständig gepatchten Windows-7-System. Der Exploit soll bei allen Internet-Explorer-Versionen ab Version 6 inklusive des kommenden Internet Explorers 10 funktionieren.
Der Hack des Internet Explorers 9 gelang dem Team von Vupen auf einem vollständig gepatchten Windows-7-System. Der Exploit soll bei allen Internet-Explorer-Versionen ab Version 6 inklusive des kommenden Internet Explorers 10 funktionieren.
Weiter wurde auf dem Wettbewerb auch der Firefox-Browser gehackt. Eine bisher unbekannte Sicherheitslücke ermöglicht das Einschleusen von Schadcode. Die Hacker Pinckaers und Iozzo nutzten dafür die stabile Version 10.0.2 unter Windows 7 SP 1. Über eine „Use-after-free“-Schwachstelle griffen sie direkt auf einen bereits freigegebenen Speicherbereich zu und hebelten dabei auch die Windows-Schutzfunktionen DEP und ASLR aus.
Damit gewannen Vincenzo Iozzo und Willem Pinckaers den zweiten Preis des Wettbewerbs und erhielten dafür 30.000 US-Dollar. Den ersten Preis erhielt das Team um Vupen verdiente sich damit 60.000 Dollar.
Übernahme
Mimecast baut Human Risk Management-Plattform mit Kauf von Code42 und Aware aus
Mimecast Limited (Mimecast) übernimmt Code42 und Aware. Code42 bietet Lösungen zum Management von Insider-Bedrohungen und Datenverlusten (Data Loss Protection, DLP). Aware ist eine KI-Sicherheitsplattform für Collaboration Tools.
>>
5G+ Gaming
Telekom führt 5G-Standalone für mobiles Spielen ein
Zusammen mit Also hat die Telekom ein Paket für mobile Gamer geschnürt. Dank der 5G-Standalone-Technologie sollen sie beim Spielen mit dem Smartphone Tempovorteile haben.
>>
"HAPS"
Luftschiff bringt schnelles Internet für unterversorgte Regionen
Dank Solarstrom kann das vom US-Luftfahrtunternehmen Sceye entwickelte Luftschiff als Relaisstation monatelang in der Stratosphäre verweilen.
>>
Zwei Tarife
Congstar legt neues Internetangebot für die Heimnutzung auf
Internet ohne Festnetztelefonie gibt es jetzt bei Congstar. Die beiden Tarife bieten unterschiedliche Bandbreiten und sind monatlich kündbar.
>>