• IT-Karriere:
  • Services:

Hackerwettbewerb: Chinesische Hacker finden Zero Days in Chrome und Edge

Etliche Zero-Day-Exploits in verschiedenen Softwareprojekten sind im Rahmen des Hackerwettbewerbs TianfuCup gezeigt worden, der chinesischen Version von Pwn2Own. Insgesamt gewannen die Hacker mehrere 100.000 US-Dollar.

Artikel veröffentlicht am ,
Etliche Hacker-Teams gewannen Preise für die gefundenen Sicherheitslücken.
Etliche Hacker-Teams gewannen Preise für die gefundenen Sicherheitslücken. (Bild: TianfuCup)

Im Rahmen des chinesischen Hackerwettbewerbs TianfuCup ist eine Reihe von Sicherheitslücken aufgedeckt worden. Neben den Browsern Chrome, Edge und Safari konnten die Hacker Office 365, den Adobe Reader sowie die kerneleigene Virtualisierungslösung KVM/QEMU unter Ubuntu angreifen. Herausstechen konnte vor allem das Team 360Vulcan, das mit einer beachtlichen Zahl an Zero Days, also bis dato unbekannten Sicherheitslücken, aufwartete. Das Team gehört zur Sicherheitsfirma Qihoo360, die in der Vergangenheit selbst mit Sicherheitsproblemen zu kämpfen hatte. Zuerst hatten die Onlinemagazine Fossbytes und ZDnet über den Wettbewerb berichtet.

Stellenmarkt
  1. DRÄXLMAIER Group, Vilsbiburg bei Landshut
  2. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf

Chinesische Sicherheitsforscher führten auf dem Hackerwettbewerb etliche Zero-Day-Sicherheitslücken in verschiedenen Softwareprodukten vor. Der Wettbewerb ist die chinesische Variante von Pwn2Own, bei dem Anfang des Jahres unter anderem das Infotainmentsystem des Tesla Model 3 gehackt wurde. Chinesische Hacker feierten auf dem Pwn2Own-Wettbewerb bis 2017 etliche Erfolge. Im vergangenen Jahr untersagte die chinesische Regierung ihnen jedoch die Teilnahme auf Hackerkonferenzen im Ausland und damit an Pwn2Own. Noch im selben Jahr wurde der erste TianfuCup veranstaltet.

Ziel der Hackerkonferenzen ist die Übernahme von Apps und Programmen über bisher nicht bekannte Sicherheitslücken (Zero Days). Gleich drei Exploits für Microsofts Browser Edge in der alten, auf EdgeHTML basierenden Variante wurden auf dem zweitägigen TianfuCup vorgeführt. Mit diesen konnte Schadcode eingeschleust und ausgeführt sowie teilweise aus der Sandbox ausgebrochen werden. Auch Googles Chrome-Browser wurde von zwei Teams gehackt, Apples Safari traf es ein Mal. Beim Safari-Hack sei das Team allerdings nur teilweise erfolgreich gewesen, wie die Veranstalter schreiben. Über ein präpariertes RTF-Dokument im Edge-Browser konnten Angreifer zudem die Sicherheitsmechanismen von Microsofts Office 365 aushebeln.

Es wurden jedoch nicht nur Sicherheitslücken in Browsern gefunden. Einem Team gelang es, aus einer virtuellen Maschine auf KVM-Qemu-Basis unter Ubuntu auszubrechen und Schadcode auf dem Hostsystem auszuführen. Hinzu kamen Sicherheitslücken in Adobes PDF Reader sowie dem D-Link-Router DIR-878. Laut dem Veranstalter sollen alle im Rahmen des Wettbewerbs verwendeten Sicherheitslücken an die Hersteller gemeldet werden, damit diese behoben werden können.

Mit einem Bonus von 382.500 US-Dollar gewann das Team 360Vulcan der chinesischen Sicherheitsfirma Qihoo360 den Wettbewerb. Qihoo360 hatte in der Vergangenheit mit den beiden firmeneigenen TLS-Zertifizierungsstellen Wosign und Startcom für Schlagzeilen gesorgt. Mozilla und Google hatten den Zertifizierungsstellen das Vertrauen entzogen und warfen ihnen vor, die Browser-Community in die Irre geführt zu haben, statt aufgedeckte Schwachstellen adäquat zu beseitigen. Zudem hätten die Zertifizierungsstellen versucht, Beschränkungen der Browser bei SHA1-Zertifikaten zu umgehen, indem sie Zertifikate rückdatierten. Zeitweise war es zudem möglich, Zertifikate für Github.com auszustellen, sofern der Antragssteller Kontrolle über eine Subdomain von Github hatte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 49,00€
  2. 89,00€
  3. 71,71€
  4. (u. a. Asus Zenbook 14 für 1.049,00€, Lenovo Ideapad 330 für 439,00€, MSI Trident 3 für 759...

Folgen Sie uns
       


Microsoft Surface Pro X - Hands on

Schon beim ersten Ausprobieren wird klar: Das Surface Pro X ist ein sehr gutes Beispiel für ARM-Geräte mit Windows 10. Viele Funktionen wirken durchdacht - die Preisvorstellung gehört nicht dazu.

Microsoft Surface Pro X - Hands on Video aufrufen
Threadripper 3970X/3960X im Test: AMD wird uneinholbar
Threadripper 3970X/3960X im Test
AMD wird uneinholbar

7-nm-Fertigung, Zen-2-Architektur und dank Chiplet-Design keine Scheduler-Probleme unter Windows 10: AMDs Threadripper v3 überzeugen auf voller Linie, die CPUs wie die Plattform. Intel hat im HEDT-Segment dem schlicht nichts entgegenzusetzen. Einzig Aufrüster dürften sich ärgern.
Ein Test von Marc Sauter

  1. Via Technologies Centaur zeigt x86-Chip mit AI-Block
  2. Nuvia Apples Chip-Chefarchitekt gründet CPU-Startup
  3. Tiger Lake Intel bestätigt 10-nm-Desktop-CPUs

Radeon RX 5500 (4GB) im Test: AMDs beste 200-Euro-Karte seit Jahren
Radeon RX 5500 (4GB) im Test
AMDs beste 200-Euro-Karte seit Jahren

Mit der Radeon RX 5500 hat AMD endlich wieder eine sparsame und moderne Mittelklasse-Grafikkarte im Angebot. Verglichen mit Nvidias Geforce GTX 1650 Super reicht es zum Patt - aber nicht in allen Bereichen.
Ein Test von Marc Sauter

  1. Workstation-Grafikkarte AMDs Radeon Pro W5700 hat USB-C-Anschluss
  2. Navi-Grafikeinheit Apple bekommt Vollausbau und AMD bringt RX 5300M
  3. Navi-14-Grafikkarte AMD stellt Radeon RX 5500 vor

Cloud Gaming im Test: Leise ruckelt der Stream
Cloud Gaming im Test
Leise ruckelt der Stream

Kurz vor Weihnachten werben Dienste wie Google Stadia und Playstation Now um Kunden - mit noch nicht ganz perfekter Technik. Golem.de hat Cloud Gaming bei mehreren Anbietern ausprobiert und stellt Geschäftsmodelle und Besonderheiten vor.
Von Peter Steinlechner

  1. Apple und Google Die wollen nicht nur spielen
  2. Medienbericht Twitch plant Spielestreaming ab 2020
  3. Spielestreaming Wie archiviert man Games ohne Datenträger?

    •  /