Am ersten Tag des Hacker-Wettbewerbs Pwn2own im kanadischen Vancouver hat das VUPEN-Team sowohl den Internet Explorer als auch Firefox gehackt. Dabei haben die französischen Sicherheitsforscher bis dahin unbekannte Schwachstellen ausgenutzt, um Schutzmechanismen zu überwinden und eingeschleusten Code auszuführen. Ein Zweier-Team der MWR Labs hat Chrome gehackt. Zwei Browser-Hersteller haben bereits Updates bereit gestellt, um die Lücken zu stopfen. Die Entwickler der Browser haben den Wettbewerb sehr aufmerksam verfolgt – schließlich sind sie es ja, deren Programmierfehler dabei ans Tageslicht gefördert werden. Die Wettbewerbsteilnehmer müssen alle Informationen über ausgenutzte Schwachstellen und auch den Exploit-Code an den Veranstalter, die HP-Tochter Tipping Point, abliefern. Dieser reicht sie gleich an die betroffenen Hersteller weiter. Deren Programmierer machen sich sogleich an die Analyse, um die Lücken zu beseitigen. Das gilt auch für Microsoft, das jedoch eine andere Update-Politik verfolgt. So wird das für kommenden Dienstag zu erwartende IE-Update die bei Pwn2own genutzten Sicherheitslücken wahrscheinlich noch nicht schließen, sondern erst das nächste im April. Google hat hingegen ein Update auf Chrome 25.0.1364.160 bereit gestellt, das die durch das Team der MWR Labs ausgenutzte Webkit-Schwachstelle beseitigen soll. Mozilla bietet Firefox 19.0.2 an, das ebenfalls per automatischem Update verteilt wird. Die Schwachstelle im HTML-Editor betrifft auch Thunderbird und Seamonkey, für die es ebenfalls Updates geben soll. Thunderbird 17.0.4 und Seamonkey 2.16.1 sind jedoch noch nicht verfügbar.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.