Hacker-Wettbewerb Pwn2Own 2017: Microsoft Edge wieder geknackt

Microsofts hochgesicherten Webbrowser Edge zu knacken war eines der begehrtesten und hochdotiertesten Ziele beim diesjährigen Hacker-Kongress Pwn2Own in Vancouver. Gleich mehreren Teams gelang es, Schwachstellen im Browser aufzugreifen und Schadcode ... mehr... Microsoft, Sicherheit, Browser, Edge, Microsoft Edge Bildquelle: Microsoft Microsoft, Sicherheit, Browser, Edge, Microsoft Edge Microsoft, Sicherheit, Browser, Edge, Microsoft Edge Microsoft

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Bei solchen News denke ich mir immer: "Das Ganze klingt super nach diesen absurden Hollywood-Hackern, die im Film mit einem Laptop abgefahrende Dinge tun." & "Wenn die das können, können das Geheimdienste auch?"
 
und wie viele tage vorher haben die angefangen die Lücken zu suchen und aus zu nutzen um sie dort dann demonstrieren zu können ?
 
@CARL1992: Spielt keine Rolle. Geknackt ist geknackt.
 
@LastFrontier: es spielt schon eine rolle ob die Edge for Ort geknackt haben von Grund auf oder ob die erst tage lang Vorarbeit leisten mussten
 
@CARL1992: die leute reisen immer vorbereitet an...die zeit zum finden der lücken wird i.d.R nicht kund getan
 
@CARL1992: Naja so gesehen könnte man aber auch sagen, dass die Unternehmen und ihre Programmierer jeden Tag Zeit hätten nach Lücken zu suchen und noch mehr Vorsprung hätten ;-) Scheinbar wurden sie aber nicht fündig. Die anderen aber schon.
 
@CARL1992: Jein. Richtige Hacker müssen es auch nicht innerhalb eines Tages schaffen. Eine Lücke zu finden ist gar nicht so einfach, außerdem gibt es viele Lücken von denen keiner weiß, denn es ist im Interesse der "bösen" Hacker, dass die Lücken möglichst lange von denen unbemerkt ausgenutzt werden können.

Zudem ist hierbei eigentlich nicht das Knacken von Edge das besondere, sondern der Ausbruch aus der VM bzw. mehrfacher Ausbruch mit einem Exploit.
 
Für Firefox gibts bereits das passende Update.
 
@TiKu:
Bei Microsoft WIndows dauert das wie immer Wochen/Monate und manchmal sogar Jahre.
 
Irrwitzige Überschrift ist das doch.. Wir wäre es mit ' verschiedene Browser gehackt bei Wettbewerb'?
 
@gonzohuerth: nur hat der edge mit abstand den größten "spaß" gehabt, u.a. auch mit dem ausbruch aus ner VM
 
@My1: in der aktuellen News dazu scheint edge wirklich schlecht abgeschnitten zu haben
 
Warum beschäftigt sich jemand damit einen Browser zu knacken, der von fast niemandem genutzt wird? Das ist ja so, als würde man Malware für Windows Mobile entwickeln.
 
@regulator: Aus Hobby? Ich sehe da auch kein nutzen, aber wenn es jemand Freude macht, warum nicht?
 
@regulator: Sind 105.000 Dollar kein Grund?
 
@Paradise: Die 105000 Dollar sind nicht nur für die Edge Lücke nur so nebenbei gesagt :)

Aber ja für das Geld würde jeder sowas machen
 
@oversoul: aber ein Anreiz, es kreativ zu gestalten
 
@regulator: Weil Geheimdienste das gut Bezahlen....
 
@regulator: Es ist der Browser, inkludiert im Zugpferd von Microsoft, der nativ ausgeliefert wird. Davon ab gibt es X Programme, die im Kern auf die API vom Edge zugeifen um Funktionen zu implementieren. Das Potential der hier demonstrierten Lücken ist nicht im Ansatz absehbar. ... und hier wurde nur eine Auswahl der Lücken gezeigt.

Wenn dies kein Grund ist... .
 
@erso: Programme, die auf die API vom Internet Explorer zugreifen gibt es zuhauf. Aber gibt es wirklich Programme, die auf die API von Edge zugreifen? Welche sind das?
 
@regulator: Meines Wissens ist die API vom Edge die des Internet Explorer. Demnach gibt es, wie du auch schreibst, zu Hauf Programme, die von den gezeigten Lücken im Edge durchlöchert sein können.
 
@erso: Nein, das ist falsch. Edge und IE haben nix miteinander zu tun. Die alten Browser-Controls greifen alle auf die alte IE-Engine zu, Edge wurde komplett davon losgelöst.
 
@regulator: äh fast alles von MS das bei Windows 10 dabei ist greif auf die Edge API zu ?
 
@CARL1992: Ich bezog mich auf normale Anwendungen, nicht auf Apps, die kaum einer nutzt.
 
und der Ausbruch aus der virtuellen Maschine gelang, weil es VMWare gehostet war? Wurden da auch Tests mit einer reinen MS Umgebung gemacht? Also VM auf Basis von Hyper-V oder auf Azure VMs?
 
@scar1: Zitat andere Quelle: "Zuerst nutzten wir einen Fehler in der JavaScript-Engine von Microsoft Edge aus, um Code innerhalb der Edge-Sandbox auszuführen; dann bedienten wir uns eines Bugs im Windows-10-Kernel, um aus der Sandbox auszubrechen und das Gastsystem zu kompromittieren. Über eine Schwachstelle der Hardware-Simulation von VMWare gelangten wir schließlich vom Gast- auf das Host-System. Für all das reichte eine entsprechend präparierte Webseite."
Scheint also in letzter Instanz ein VM Problem zu sein.
 
@Odi waN: Jupp, wenn man so auf den VMWare Hypervisor host (und somit wahrscheinlich alle darauf laufenden VMs) kapern kann.....
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr Vgate iCar 2 Bluetooth EOBD OBDII OBD 2 KFZVgate iCar 2 Bluetooth EOBD OBDII OBD 2 KFZ
Original Amazon-Preis
15,30
Im Preisvergleich ab
?
Blitzangebot-Preis
12,99
Ersparnis zu Amazon 15% oder 2,31