Pwn2Own: Internet Explorer 9 erfolgreich geknackt

Im Rahmen des Pwn2Own-Hackerwettbewerbs auf der CanSecWest-Security-Konferenz war es den Sicherheitsexperten von VUPEN möglich, den Internet Explorer aus dem Hause Microsoft erfolgreich zu knacken.

Zwei Zero-Day-Schwachstellen nutzte VUPEN auf einem vollständig aktuellen Windows 7 in Kombination mit dem Internet Explorer 9 aus. Diesbezüglich konnten die Sicherheitsexperten nicht nur einen Puffer-Überlauf auf dem Heap hervorrufen, sondern auch die in das Microsoft-Betriebssystem integrierten Schutzmaßnahmen DEP und ASLR überlisten.

Die gefundenen Schwachstellen sind ohne jeden Zweifel als äußert kritisch anzusehen. Den Mitarbeitern des französischen Unternehmens war es zudem möglich, aus dem Protected-Mode des Internet Explorers auszubrechen. Für die Anwender selbst besteht grundsätzlich eine große Gefahr, da schon der Besuch einer entsprechend manipulierten Webseite ausreicht, um die Schwachstelle ausnutzen zu können.

Von der Problematik ist nicht nur der Internet Explorer 9 betroffen. Den getroffenen Bekanntmachungen nach zu urteilen ist der Microsoft-Browser seit der Version 6 dafür anfällig. Auch die aktuelle Beta-Version des Internet Explorer 10 scheint betroffen zu sein, berichtet Ryan Naraine vom US-Portal 'ZDNet'.

Zwei Mitarbeiter des Unternehmens haben sich über sechs Wochen damit beschäftigt, eine solche Schwachstelle im Browser von Microsoft ausfindig machen zu können. Abgesehen vom Internet Explorer konnte VUPEN den Chrome-Browser von Google innerhalb von fünf Minuten durch das Ausnutzen von zwei Sicherheitslücken im Zuge des Pwn2Own-Wettbewerbs knacken.

Diese Nachricht empfehlen

Nachricht versenden
Kommentieren
Hinweis einsenden

[o1] am

prima, dann steht's ja wieder 1:1. Mal sehen wer schneller fixt.

[re:1] am

(+6)

@jackattack: Ist doch schon gefixed in Chrome: http://winfuture.de/news,68542.html

[re:2] am

@wunidso:MS tut sich naturgemäß viel schwerer mit einen Fix. Das liegt daran, das der IE viel zu tief im System verankert ist, wenn man da was tauschen möchte, muß man ewige Tests fahren ob alles andere noch genauso funktioniert wie es soll.

[re:3] am

(+11)

@skyjagger: Die Verankerung im System ist weniger der Grund, schließlich hat MS das System entwickelt und viel mehr Entwickler als die Konkurrenz, die sich der Sache annehmen können. Das Problem liegt auf Seiten der Kunden, genauer der Kundenzahl. Es macht einen Unterschied, ob man mit seinem Browser ein paar Prozent der PC-Nutzer bedient oder die große Mehrheit. MS muss ungleich mehr als die Konkurrenz bei jeder ihrer Software darauf achten, dass die Änderungen keine neuen Probleme hervorrufen. Die dürften einen viel umfangreicheren Testparkour haben, während das eigtl. Fixen der Fehler gleich schnell oder schneller als woanders geht. Zudem, welche Firma nutzt schon Chrome oder Firefox? Der IE wird in Unternehmen am meisten genutzt, darum darf es keine riskanten Schnellschussupdates geben. Bei Privatnutzern ist das kein Problem, der kann ja mal eben das Update wieder deinstallieren und nix ist gewesen. Vor diesem Hintergrund macht MS das eigtl. schon sehr sehr gut mit den Updates, wenn man bedenkt, wie selten es damit irgendwelche Probleme gibt bei so viel hundert Millionen Nutzern.

Bearbeitet am 10.03.12 um 11:16 Uhr.