Der Hacker-Wettbewerb Pwn2own findet auch in diesem Jahr wieder im Rahmen der Sicherheitskonferenz CanSecWest im kanadischen Vancouver statt. Veranstalter ist die HP Zero Day Initiative (ZDI). In diesem Jahr gibt es drei Kategorien, in denen Preisgelder ausgelobt worden sind: Browser, Plug-ins und der so genannte “Exploit Unicorn Grand Prize”. Bei letzterem gilt es einen IE-Exploit an Microsofts Schutzprogramm EMET (Enhanced Mitigation Experience Toolkit) vorbei ins Ziel zu bringen. Mit einer Ausnahme finden alle Hack-Versuche unter Windows 8.1 x64 statt. In der Browser-Kategorie sind die aktuellen Versionen von Firefox, Chrome und Internet Explorer (IE) zu knacken sowie Safari unter OS X Mavericks. Als Plug-ins stehen Adobe Reader, Flash Player und Java bereit, jeweils im Internet Explorer 11. Ziel ist es noch nicht bekannte Sicherheitslücken auszunutzen, um auf dem System beliebigen Code auszuführen. Für die “Einhornjagd” auf den Großen Preis (150.000 US-Dollar) hat sich bislang niemand gemeldet, der EMET austricksen will oder kann. Bereits am gestrigen ersten Tag haben die Teams der Sponsoren Google und HP ZDI außerhalb des eigentlichen Wettbewerbs ein “Pwn4Fun”-Duell ausgetragen. Das Google-Team hat einen Safari-Exploit benutzt, um auf einem aktuellen Mac-System den Taschenrechner mit Root-Rechten zu starten. ZDI hat einen IE-Exploit gezeigt, bei dem es den Sicherheitsforschern gelungen ist die Browser-Sandbox zu umgehen. Das Preisgeld, insgesamt 82.500 US-Dollar, geht als Spende an das Kanadische Rote Kreuz. Im Wettbewerb ist Firefox gleich dreimal unter Räder gekommen. Jüri Aedla (Google), Mariusz Mlynski und das schon im letzten Jahr recht erfolgreiche französische VUPEN-Team haben den Mozilla-Browser erfolgreich ausgetrickst. VUPEN hat außerdem Exploits gegen Internet Explorer, Adobe Reader und Flash Player gezeigt. Einen angekündigten Angriffsversuch auf Java haben die Franzosen wieder abgesagt. Insgesamt sind am ersten Wettbewerbstag 400.000 US-Dollar an Preisgeldern zuerkannt worden. Der zweite Tag des Wettbewerbs beginnt heute um 10 Uhr Ortszeit, also um 18 Uhr MEZ (in Nordamerika ist bereits Sommerzeit). Angekündigt sind Angriffe auf Safari, Internet Explorer, Firefox, Chrome und den Flash Player. Für Flash und Chrome hatten die Hersteller noch einen Tag vor dem Pwn2own-Wettbewerb Sicherheits-Updates heraus gebracht. Sollten alle angekündigten Hacks Erfolg haben, würde die Gesamtsumme der Preisgelder auf mehr als eine Million Dollar steigen – eine neuer Pwn2own-Rekord.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.