Auf dem von der HP-Tochter Zero Day Initiative (ZDI) in Zusammenarbeit mit Googles Project Zero veranstalteten Hacker-Wettbewerb Pwn2Own haben Sicherheitsforscher erneut Schwachstellen in populären Anwendungsprogrammen entdeckt. Der Contest fand im Rahmen der jährlichen Sicherheitskonferenz CanSecWest im kanadischen Vancouver statt und stellte die Teilnehmer vor die Aufgabe, bis dahin unbekannte Sicherheitslücken in den neuesten Versionen von Internet Explorer, Mozilla Firefox, Google Chrome (alle unter Windows 8.1) und Apple Safari (64 Bit, OS X) sowie in Adobe Reader und Flash Player zu finden. Durch das Ausnutzen der Schwachstelle sollten sie Kontrolle über bereit gestellte Windows-Rechner erlangen.
Alle vier großen Internetbrowser wurden von den Hackern binnen kürzester Zeit geknackt: Im Internet Explorer 11 fanden sie vier, im Firefox drei und im Safari zwei Lücken. In Google Chrome konnte ein Leck ausfindig gemacht werden. Auch Adobe Reader und Flash Player mussten sich je drei Mal den Angriffen der Hacker beugen. Fünf Sicherheitslücken offenbarten sich im neuen Windows 8.1.
Insgesamt führten die Coder 21 Zero-Day-Lücken vor, wofür sie zusammengerechnet ein Preisgeld in Höhe von 557.500 US-Dollar kassierten. Unter ihnen Hackergruppen wie Team509 und Keen Team sowie Nicolas Joly, Ex-Mitarbeiter des französischen Sicherheitsunternehmens Vupen Security.
Die größte Summe, nämlich 225.000 US-Dollar, konnte Jung Hoon Lee alias „lokihardt“ abräumen: Der Südkoreaner fand sowohl im Internet Explorer als auch in der Stable- und Beta-Version von Chrome jeweils eine gravierende Schwachstelle. Um seine Angriffe erfolgreich auszuführen, benötigte Lee über 2000 Zeilen Code.
Es ist anzunehmen, dass die Softwareanbieter, die bei den Hacker-Angriffen offen gelegten Sicherheitslöcher schnell stopfen werden. Zumindest Mozilla Firefox hat reagiert und sie bereits mit dem Sicherheitsupdate 36.0.4 behoben.
