Am ersten Tag des Hacker-Wettbewerbs Pwn2own im kanadischen Vancouver hat das VUPEN-Team sowohl den Internet Explorer als auch Firefox gehackt. Dabei haben die französischen Sicherheitsforscher bis dahin unbekannte Schwachstellen ausgenutzt, um Schutzmechanismen zu überwinden und eingeschleusten Code auszuführen. Ein Zweier-Team der MWR Labs hat Chrome gehackt. Zwei Browser-Hersteller haben bereits Updates bereit gestellt, um die Lücken zu stopfen. Die Entwickler der Browser haben den Wettbewerb sehr aufmerksam verfolgt – schließlich sind sie es ja, deren Programmierfehler dabei ans Tageslicht gefördert werden. Die Wettbewerbsteilnehmer müssen alle Informationen über ausgenutzte Schwachstellen und auch den Exploit-Code an den Veranstalter, die HP-Tochter Tipping Point, abliefern. Dieser reicht sie gleich an die betroffenen Hersteller weiter. Deren Programmierer machen sich sogleich an die Analyse, um die Lücken zu beseitigen. Das gilt auch für Microsoft, das jedoch eine andere Update-Politik verfolgt. So wird das für kommenden Dienstag zu erwartende IE-Update die bei Pwn2own genutzten Sicherheitslücken wahrscheinlich noch nicht schließen, sondern erst das nächste im April. Google hat hingegen ein Update auf Chrome 25.0.1364.160 bereit gestellt, das die durch das Team der MWR Labs ausgenutzte Webkit-Schwachstelle beseitigen soll. Mozilla bietet Firefox 19.0.2 an, das ebenfalls per automatischem Update verteilt wird. Die Schwachstelle im HTML-Editor betrifft auch Thunderbird und Seamonkey, für die es ebenfalls Updates geben soll. Thunderbird 17.0.4 und Seamonkey 2.16.1 sind jedoch noch nicht verfügbar.
News
Schnelle Updates für Firefox und Chrome
Google hat ein Chrome-Update bereit gestellt, Mozilla hat die neue Firefox-Version 19.0.2 veröffentlicht. Beide schließen damit Sicherheitslücken, die beim Hacker-Wettbewerb Pwn2own ausgenutzt wurden.

Image: fz