Alle Browser und viele Plug-ins geknackt

avg_logo_deSeit vielen Jahren läuft zum Frühlingsanfang der Pwn2Own-Wettbewerb der Sicherheitssparte von Hewlett Packard, die den Veranstalter Zero-Day-Initiative vor einigen Jahren übernommen hat. Ziel ist es, dass Hacker zur Erlangung von Preisen (das geknackte System dürfen die Gewinner behalten) und Preisgeldern (bis zu 100.000 US-$ für weit verbreitete und als sicher geltende Software) Sicherheitslücken in wichtiger Software innerhalb eines gesteckten Zeitrahmens ausnutzen, um fremden Code auf den Rechner zu schmuggeln und zu starten. Ganz nebenbei erlaubt der Wettbewerb so auch einen indirekten Einblick darin, wie die Internetmafia arbeitet – diese ist auch auf das ständige Auffinden von Sicherheitslücken und deren verlässliche Ausbeutung angewiesen.

Beim diesjährigen Pwn2Own 2013 auf der Sicherheitskonferenz CanSecWest, der noch bis einschließ­lich heute in Vancouver läuft, wurden jetzt so ziemlich alle wichtigen Webbrowser und Komponenten zum Einschleusen von Schadcode missbraucht. Chrome, Firefox, Internet Explorer 10, Adobe Reader XI, Flash Player und Java – in allen Programmen konnten die Sicherheits­experten Lecks ausmachen, die sie mittels manipulierter Webseiten zum Ausführen eigenen Programm­codes ausnutzten.

Für Firefox (19.0.2) und Chrome (25.0.1364.160) stehen vorbildlicherweise bereits Programm­aktuali­sierungen bereit, die die Schwachstellen abdichten. Anwender wie Administratoren sollten die bereitstehenden Aktualisierungen rasch einspielen.

Links:
Heise http://www.heise.de/newsticker/meldung/Chrome-Firefox-IE-10-Adobe-Reader-und-Java-auf-Pwn2Own-Wettbewerb-gehackt-1818962.html

Geschrieben von Dirk Knop