Rückblick auf Pwn2Own 2014: IE viermal gehackt

Im Rahmen der "Zero Day Initiative" hatte HP auch in diesem Jahr während der CanSecWest-Konferenz in Vancouver Sicherheitsspezialisten und Hacker zum Pwn2Own-Wettbewerb eingeladen. mehr... Hacker, Kryptographie, Hex-Code Bildquelle: Public Domain Hacker, Kryptographie, Code, Hex-Code Hacker, Kryptographie, Code, Hex-Code Public Domain

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Ja, wenn ihr schon über Pwn2Own Berichtet, dann doch bitte auch vollständig: https://twitter.com/jmanici/status/444564554224533504
 
@Black-Luster: War ja auch irgendwie klar, dass die Medien davon nichts berichten. Das würde dass Weltbild der IE-Hater erschüttern.
 
@eragon1992: Da ist was dran. ;)
 
@eragon1992: wieso? der IE ist genauso wie jeder andere Browser - ja wie jede andere Software welche von Menschen geschrieben wird - anfällig. Aber ich muss sagen, dass sich seit dem "verhassten" IE6 und dem wenig besseren IE7 sehr viel getan hat. Mittlerweile ist der FF nurnoch "Notreißleine" auf meinem System falls es doch mal eine Seite gibt die im IE nicht laufen möchte.
 
Hätte es nie gedacht...aber Windows scheint, verglichen mit anderen Systemen, das Sicherste zu sein. Gute Arbeit!
 
@gola: Microsoft hat über die Jahrzehnte ja auch eine Menge Erfahrung sammeln dürfen mit einer 90 prozentigen Abdeckung des Desktop Marktes.
 
@gola: Was anscheinend verschwiegen wurde ist, dass ein Windows System, welches mit EMET (auch von Microsoft) abgehärtet ist, nicht geknackt worden ist, dafür hätte es das höchste Preisgeld gegeben.
 
@eragon1992: Mit EMET stürzt Windows eher ab. Da läuft dann gar nichts mehr. Eigentlich auch eine bescheuerte Idee, den Stackschutz nicht gleich in der Software einzubauen sondern über EMET DLL-Wrapper Frickelei zu machen.
 
"...Dazu wurden Sicherheitslücken in Flash Player, Adobe Reader und Java ausgenutzt..." Wer diese Plugins (privat) noch nutzt ist selbst Schuld.
 
@w4n: Man kann leider nicht auf alle verzichten.
 
@hhgs: mittlerweile? doch, kann man...
 
@Slurp: Nein, kann man als 08/15 oder sonst wie unbedarfter Nutzer nicht.
 
@levellord: aha? wieso? youtube nimmt automatisch die html5 videos, wenn kein flash gefunden wurde... java... wüsste ich grad nichtmal mehr eine seite, wo das verlangt wird... und der reader kann auch installiert werden ohne browser-plugin (oder wenn zb win8 vorhanden ist, gibts den ms eigenen reader)... also ich wüsste grad kein szenario mehr, wo flash dringend benötigt wird
 
@Slurp: Es gibt auch andere Webseiten ausserhalb von Youtube.
 
@Slurp: Stimmt, es gibt ja nur Youtube.
 
@Slurp:
Teils, ich selber brauche Java nicht mehr und statt dem Adobe Reader habe ich den Nitro Reader installiert wo aber auch nochmal zur weiteren Sicherheit Javascript deaktiviert ist, womit die Gefahr sich nochmal verringert.
Den Flashplayer brauch man leider noch bei einigen Seiten.
 
@w4n: Nein nur auf den Adobe Reader kann man verzichten. Die meisten Youtube Videos laufen zwar mitterlerweile auch in Html5, aber eben auch nicht alle und es hakelt noch sehr häufig und das Java Plugin im Browser sollte man zwar unbedingt deaktivieren, aber sonst braucht es wohl noch fast jeder Entwickler und es gibt auch noch genug Anwendungen für die man Java braucht, allein schon für Minecraft
 
@Ben22: "und das Java Plugin im Browser sollte man zwar unbedingt deaktivieren, aber sonst braucht es wohl noch fast jeder Entwickler" Du wolltest schreiben "jeder Java-Entwickler".
 
Noch ein Grund mehr, Flash, Reader und Java nicht zu nutzen. Gerade letzteres hat quasi keine Relevanz mehr, wenn man nicht unbedingt mit irgendwelchen Java-Browser-Apps arbeiten muss. Im "normalen" Web spielt Java zum Glück keine Rolle mehr. Und wenn endlich mal alle Flash durch HTML 5 und JavaScript ersetzen würden, bräuchte man diesen Mist auch nicht mehr. Der Adobe Reader war noch nie gut, außer im Nerven, dass alle fünf Minuten ein Patch eingespielt werden muss. Da gibt es genug deutlich performantere und leistungsstärkere Alternativen.
 
@HeadCrash: Naja, nicht verallgemeinern. Java Applets haben kaum noch eine Relevanz im Privaten Bereich (lässt sich inzwischen ja vieles direkt in JS realisieren). Gegen die Java Runtime für die Java Anwendungen spricht ja nichts. Man muss nur daran Denken für Java im Browser ein "Click to play" zu aktivieren, oder das Java Plugin nur für bestimmte Webseiten aktivieren lassen.
 
@Stefan1200: Deswegen steht da im normalen Web. Ich weiß schon, dass Java noch weit verbreitet ist, auch wenn ich immer noch denke, dass es keine besonders gute Technologie ist. Aber das ist ne ganz andere Diskussion. :) Edit: und es hängt wirklich stark davon ab, was man tut bzw. in welchem Bereich man unterwegs ist. Ich persönlich brauche Java nur noch, wenn ich mal etwas in Ellipse demonstrieren muss. Ansonsten lebe ich seit gut 6 Jahren vollkommen ohne Java und hatte nie irgendwelche relevanten Einschränkungen. Ich bin allerdings ich nicht auf irgendwelchen Browsergame-Seiten unterwegs, die z.T. ja noch recht viel Java einsetzen.
 
@HeadCrash: lol da hat einer keine Ahnung vom Web. Java ist die Serversprache im Enterprisebereich.
 
@curl: Ach, weißt Du, es gibt soo viele Alternativen, die deutlich besser als Java sind. Ich glaube, ich hab eine Menge Ahnung davon ;-) Außerdem interessiert mich in diesem Fall die Serverseite nicht, sondern der Client. Es gibt für einen normalen Surfer keinen wirklichen Grund mehr, Java auf dem Client zu installieren. Und nur darum ging es in meinem Kommentaren, denn nur darum geht es in dem Artikel. Vielleicht einfach mal bei der Sache bleiben? ;-)
 
@HeadCrash: Nenn mal eine du Experte ^^
 
:facepalm: Diese Kommentare! :facepalm:
Es gibt keine wirklich nennenswerte Alternativen für Adobe Flash Player und Java, daher ist es die bessere alternative diese Sachen mit Plugin wie z.B. No-Script generell zu Blockieren und nur dann freizugeben, wenn man es möchte oder brauch. :-)
 
Ein paar Kommentatoren haben ja schon erwähnt, dass mit EMET gehärtete Systeme nicht geknackt wurden. Für Interessierte gibt es hier http://support.microsoft.com/kb/2458544/de etwas Lesestoff und Downloadmöglichkeit. Mit der kommenden Version 5.0, die z.Z. nur als Technical Preview zur Verfügung steht, wird die Hürde noch mal deutlich höher gelegt. Ist schon ein tolles Tool für das ganze System, nicht nur für (alle) Browser.
 
@Vollbluthonk: mhm ne danke. Ich bleib bei Linux, wurde auch nicht geknackt und ist von Haus aus sicher, ganz ohne irgendwo im System rumzufrickeln.
 
@curl: Ein Linux-Derivat wurde gar nicht verwendet. Was doll dann die Ausage für einen Bezug haben?
 
@mr.return: Wer weis, vielleicht wurde Linux da nicht verwendet, weil es vielleicht nicht sicherer als Windows ist. *duckundweg*. Die meisten Hacker sagen ja, dass OS X (Unix) leicht zu hacken ist, und Windows schon schwere Arbeit ist. Kein System ist 100%ig sicher, auch kein Unix/Linux System, Android ist ein sehr gutes Beispiel dafür.
 
@curl: EMET ist nicht wirklich frickelig.
Und gehört eigentlich auf jeden Firmenrechner mit Windows Betriebssystemen.
Kommentar abgeben Netiquette beachten!