Am ersten Tag der von Google parallel zum etablierten Hacker-Wettbewerb Pwn2own abgehaltenen Konkurrenzveranstaltung Pwnium (abgeleitet von Chromium) hat Sergej Glazunov einen kompletten Chrome-Hack gezeigt. Google hatte angekündigt, es wolle die Schwachstelle in seinem Browser innerhalb eines Tages schließen. Mit der neuen Chrome-Version 17.0.963.78 für Windows, Mac und Linux lösen die Entwickler dieses Versprechen ein.
Sergej Glazunov gehört zu den externen Sicherheitsforschern, die schon seit längerer Zeit nach Schwachstellen in Chrome suchen und ihre Funde regelmäßig an Google melden. Glazunov hat auf diese Weise bereits mehr als 40.000 US-Dollar an Prämien aus Googles Bug-Bounty Programm erhalten. Nun kommen weitere 60.000 Dollar sowie ein Chromebook hinzu.
Das französische VUPEN-Team hat beim ebenfalls im Rahmen der Sicherheitskonferenz CanSecWest stattfindenden Pwn2own-Wettbewerb der HP-Tochter TippingPoint auch einen Chrome-Hack demonstriert – einschließlich Ausbruch aus der Sandbox. Da jedoch bei Pwn2own der benutzte Exploit-Code nicht offen gelegt werden muss, werden die Google-Entwickler wohl etwas länger benötigen, um die aufgedeckten Schwachstellen zu beheben.
Der Mythos, Chrome sei nicht zu hacken, ist jedenfalls mehr als nur angekratzt.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.