Google Chrome: Hacker bekommt 60.000 US-Dollar

Google ist dazu bereit, parallel zum Hackerwettbewerb Pwn2Own der CanSecWest Security-Konferenz, bis zu eine Million US-Dollar für Exploits auszugeben. Ein erster Hacker konnte sich bereits 60.000 US-Dollar sichern. Sergey Glazunov, der schon seit geraumer Zeit immer wieder für gefundene Schwachstellen in Chrome auf sich aufmerksam macht, konnte zwei schwerwiegende Fehler im Google-Browser finden und ein zugehöriges Exploit auf den Weg bringen. Offenbar qualifiziert er sich diesbezüglich für ein Preisgeld in der Höhe von 60.000 US-Dollar, da ein Ausbruch aus der Sandbox möglich ist.

Durch das Ausnutzen der von Sergey Glazunov entdeckten Schwachstellen könnte ein Angreifer unter Umständen fremde Systeme mit Schadcode infizieren, berichtet der Sicherheitsdienstleister 'Sophos'. Dafür soll schon der Besuch einer entsprechend manipulierten Webseite ausreichen. Die Entwickler von Google arbeiten den eigenen Angaben zufolge schon an einem Update, welches diese Problematik aus der Welt schafft.

Wie bereits angesprochen veranstaltet Google neben dem Pwn2Own-Wettbewerb den so genannten Pwnium-Contest, der drei Tage dauert. Unter dem Strich will der Internetkonzern bis zu eine Million US-Dollar für eingereichte und funktionierende Exploits ausgeben. Für ein Full Chrome Exploit, welches nur auf Schwachstellen im hauseigenen Browser selbst abzielt, zahlt Google beispielsweise 60.000 US-Dollar.

Im Hinblick auf den Pwn2Own-Wettbewerb konnten offenbar Mitarbeiter des französischen Sicherheitsdienstleisters VUPEN den Chrome-Browser innerhalb von fünf Minuten durch das Ausnutzen von zwei Sicherheitslücken knacken. Wie aus einem Twitter-Beitrag hervor geht, konnte man mit einem zugehörigen Exploit nicht nur aus der Sandbox ausbrechen, sondern auch die beiden Windows-Schutzmaßnahmen DEP und ASLR umgehen.