قالب وردپرس درنا توس
Home / Wissenschaft & Technik / Hacking-Wettbewerb: Chinesische Hacker finden Zero Days in Chrome und Edge

Hacking-Wettbewerb: Chinesische Hacker finden Zero Days in Chrome und Edge



Im chinesischen Hacker-Wettbewerb TianfuCup wurde eine Reihe von Sicherheitslücken aufgedeckt. Neben den Browsern Chrome, Edge und Safari, den Hackern Office 365, dem Adobe Reader und der kernelbasierten Virtualisierungslösung KVM / QEMU greifen Sie unter Ubuntu an. Vor allem das Team 360Vulcan stach hervor, das mit einer beachtlichen Anzahl von Null Tagen, also unbekannten Sicherheitslücken, aufwarten konnte. Das Team gehört zur Sicherheitsfirma Qihoo360, die in der Vergangenheit eigene Sicherheitsprobleme hatte. Zuerst hatten die Online-Magazine Fossbytes und ZDnet über den Wettbewerb berichtet.

Stellenmarkt

  1. Dataport, verschiedene Standorte
  2. MAN Energy Solutions SE, Oberhausen



Chinesische Sicherheitsforscher führten im Hacker-Wettbewerb mehrere Zero-Day-Schwachstellen in verschiedenen Softwareprodukten durch. Der Wettbewerb ist die chinesische Variante von Pwn2Own, bei der Anfang des Jahres unter anderem das Infotainmentsystem des Tesla Model 3 gehackt wurde. Chinesische Hacker feierten beim Pwn2Own-Wettbewerb 2017 mehrere Erfolge. Letztes Jahr verbot die chinesische Regierung ihnen jedoch die Teilnahme an Hacker-Konferenzen im Ausland und damit Pwn2Own. Der erste TianfuCup fand im selben Jahr statt.

Ziel der Hackerkonferenzen ist es, Apps und Programme zu bisher unbekannten Sicherheitsproblemen (Zero Days) zu übernehmen. Auf dem zweitägigen TianfuCup wurden drei Exploits für Microsofts Browser Edge in der alten EdgeHTML-basierten Variante demonstriert. Mit diesen konnte Schadcode eingeschleust und ausgeführt und teilweise aus der Sandbox herausgebrochen werden. Auch der Chrome-Browser von Google wurde von zwei Teams gehackt, Apple Safari hat ihn einmal getroffen. Beim Safari-Hack war das Team nur teilweise erfolgreich, wie die Veranstalter schreiben. Durch ein vorbereitetes RTF-Dokument im Edge-Browser konnten Angreifer auch die Sicherheitsmechanismen von Microsoft Office 365 untergraben.

Es wurden jedoch nicht nur Sicherheitslücken in Browsern gefunden. Einem Team gelang es, aus einer auf KVM Qemu basierenden virtuellen Maschine unter Ubuntu auszubrechen und bösartigen Code auf dem Hostsystem auszuführen. Hinzu kamen Sicherheitslücken in Adobe PDF Reader und im D-Link DIR-878-Router. Nach Angaben des Veranstalters werden alle im Wettbewerb verwendeten Schwachstellen den Herstellern zur Behebung gemeldet.

Mit einem Bonus von 382.500 USD gewann das Team 360Vulcan der chinesischen Sicherheitsfirma Qihoo360 den Wettbewerb. Qihoo360 hatte in der Vergangenheit mit den beiden proprietären TLS-Zertifizierungsstellen Wosign und Startcom Schlagzeilen gemacht. Mozilla und Google hatten den Zertifizierungsstellen das Vertrauen genommen und sie beschuldigt, die Browser-Community irregeführt zu haben, anstatt entdeckte Sicherheitslücken angemessen zu beseitigen. Darüber hinaus haben Zertifizierungsstellen versucht, Browsereinschränkungen für SHA1-Zertifikate zu umgehen, indem sie Zertifikate zurückdatieren. Zeitweise war es auch möglich, Zertifikate für Github.com auszustellen, sofern der Antragsteller die Kontrolle über eine Subdomain von Github hatte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-Pur-Angebot
und lese Golem.de

  • ohne Werbung
  • mit deaktiviertem Javascript
  • mit RSS-Volltext-Feed


Source link