Gratulation, im Namen der
Informationssicherheit, empfehlenswert und nachahmbar für Microsoft
und Co. !
Hacker sahnt 60.000 Dollar für Chrome-Hack ab
12. Oktober 2012, 13:23
Google reagiert innerhalb weniger Stunden mit Update - "Pinky Pie"
gelingt schon zum zweiten Mal vollständiger Hack
Google lobt schon seit einigen Jahren diverse Belohnungen für das
Aufspüren von Sicherheitslücken im Chrome-Browser aus, ein Konzept
das sich bislang als äußerst erfolgreich erwiesen hat, konnte man
mithilfe der Community doch bereits zahlreiche Fehler aufspüren und
ausbessern. Mit Pwnium hat man dann im Frühjahr das erste Mal einen
eigenen Hack-Wettbewerb ausgeschrieben, nun gab es dessen Nachfolge
- und wieder konnte der Chrome geknackt werden.
Wiederholung
Wie schon im Frühjahr gelang es einem unter dem Pseudonym "Pinky
Pie" agierenden Hacker die Sicherheitsmechanismen von Chrome
auszutricksen und so von außen Zugriff auf das lokale System zu
erhalten. Im Vergleich zum ersten Hack - bei dem sechs Bugs in Serie
genutzt wurden - war der Angriffsweg beinahe schon simpel: Zunächst
wurde ein Fehler der Rendering Engine Webkit in der Verarbeitung von
SVG-Bildern ausgenutzt, um aus dem Render-Prozess auszubrechen.
Danach war aber noch ein zweiter Exploit notwendig, um die Sandbox
von Chrome überwinden zu können, hierzu bediente man sich eines Bugs
in der Interprozesskommunikation des Browsers.
Preisgeld
Da sich der Hacker für seinen Angriff nur Lücken in Chrome selbst
bediente, konnte er auch das maximale Preisgeld für sich sichern -
60.000 US-Dollar wechseln damit den Besitzer. Insgesamt hatte Google
1.000.000 US-Dollar Preisgeld für Pwnium 2 bereitgestellt. Den
Großteil dieses Preisgeldes kann das Unternehmen aber nun wieder mit
nach Hause nehmen, bis auf "Pinky Pie" konnte niemand einen
erfolgreichen Hack durchführen.
Reaktion
Mindestens so beeindruckend wie der Hack selbst ist allerdings auch
die Reaktionszeit von Google: Innerhalb von gerade einmal 10 Stunden
hat das Unternehmen beide Sicherheitslücken geschlossen und ein
neues Updates für die stabile Version des Browsers ausgeliefert.
(apo, derStandard.at, 12.10.12)
Links
Pwnium 2: results and wrap-up
Google Chrome: Stable Channel Update