Gehackt: Chrome, Firefox und Internet Explorer

Die Sicherheitskonferenz CanSecWest ist derzeit in vollem Gange. Bei den Hackerwettbewerben Pwn2Own und Pwnium haben es findige Hacker geschafft, sowohl Googles Browser Chrome als auch den Internet Explorer und Firefox 10 zu knacken.

Chrome war der erste Browser, der in die Knie ging – und das gleich zweimal. Bereits vergangenen Mittwoch gelange es dem Sicherheitsforscher Sergey Glazunov mit einem Zero-Day-Exploit die Sandbox von Chrome unter Windows 7 zu umgehen. Nur einen Tag später schaffte auch ein Team der Sicherheitsfirma Vupen Chrome in die Knie zu zwingen.

Ebenfalls das Vupen-Team war es, das den Internet Explorer 9 knacken konnte. Dafür hebelten sie die Schutzfunktionen Datenausführungsverhinderung (DEP) und Speicherverwürfelung (ASLR) aus und konnten so aus der Sandbox des aktuellen Internet Explorer ausbrechen. Der Exploit ist nach Angaben von Vupen unter allen IE-Versionen seit dem Internet Explorer 6 möglich, einschließlich der Beta-Version des IE 10 unter Windows 8.

Auch der dritte große Browser, der Firefox 10, konnte sich nicht gegen die Hacker behaupten. Vincenzo Iozzo und Willem Pinckaers nutzten einen Zero-Day-Exploit, um dem Feuerfuchs Schadcode unterzujubeln. Auch sie konnten die Sicherheitsvorkehrungen Datenausführungsverhinderung und Speicherverwürfelung überlisten.

Unter den großen Browsern ist damit nur Apples Safari noch nicht geknackt worden. Das Team von Vupen hatte jedoch schon vor Tagen via Twitter verkündet, auch für Safari einen Zero-Day-Exploit im Ärmel zu haben.