• IT-Karriere:
  • Services:

Hackerwettbewerb: Chinesische Hacker finden Zero Days in Chrome und Edge

Etliche Zero-Day-Exploits in verschiedenen Softwareprojekten sind im Rahmen des Hackerwettbewerbs TianfuCup gezeigt worden, der chinesischen Version von Pwn2Own. Insgesamt gewannen die Hacker mehrere 100.000 US-Dollar.

Artikel veröffentlicht am ,
Etliche Hacker-Teams gewannen Preise für die gefundenen Sicherheitslücken.
Etliche Hacker-Teams gewannen Preise für die gefundenen Sicherheitslücken. (Bild: TianfuCup)

Im Rahmen des chinesischen Hackerwettbewerbs TianfuCup ist eine Reihe von Sicherheitslücken aufgedeckt worden. Neben den Browsern Chrome, Edge und Safari konnten die Hacker Office 365, den Adobe Reader sowie die kerneleigene Virtualisierungslösung KVM/QEMU unter Ubuntu angreifen. Herausstechen konnte vor allem das Team 360Vulcan, das mit einer beachtlichen Zahl an Zero Days, also bis dato unbekannten Sicherheitslücken, aufwartete. Das Team gehört zur Sicherheitsfirma Qihoo360, die in der Vergangenheit selbst mit Sicherheitsproblemen zu kämpfen hatte. Zuerst hatten die Onlinemagazine Fossbytes und ZDnet über den Wettbewerb berichtet.

Stellenmarkt
  1. WITRON Gruppe, Parkstein (Raum Weiden / Oberpfalz)
  2. über duerenhoff GmbH, Mannheim

Chinesische Sicherheitsforscher führten auf dem Hackerwettbewerb etliche Zero-Day-Sicherheitslücken in verschiedenen Softwareprodukten vor. Der Wettbewerb ist die chinesische Variante von Pwn2Own, bei dem Anfang des Jahres unter anderem das Infotainmentsystem des Tesla Model 3 gehackt wurde. Chinesische Hacker feierten auf dem Pwn2Own-Wettbewerb bis 2017 etliche Erfolge. Im vergangenen Jahr untersagte die chinesische Regierung ihnen jedoch die Teilnahme auf Hackerkonferenzen im Ausland und damit an Pwn2Own. Noch im selben Jahr wurde der erste TianfuCup veranstaltet.

Ziel der Hackerkonferenzen ist die Übernahme von Apps und Programmen über bisher nicht bekannte Sicherheitslücken (Zero Days). Gleich drei Exploits für Microsofts Browser Edge in der alten, auf EdgeHTML basierenden Variante wurden auf dem zweitägigen TianfuCup vorgeführt. Mit diesen konnte Schadcode eingeschleust und ausgeführt sowie teilweise aus der Sandbox ausgebrochen werden. Auch Googles Chrome-Browser wurde von zwei Teams gehackt, Apples Safari traf es ein Mal. Beim Safari-Hack sei das Team allerdings nur teilweise erfolgreich gewesen, wie die Veranstalter schreiben. Über ein präpariertes RTF-Dokument im Edge-Browser konnten Angreifer zudem die Sicherheitsmechanismen von Microsofts Office 365 aushebeln.

Es wurden jedoch nicht nur Sicherheitslücken in Browsern gefunden. Einem Team gelang es, aus einer virtuellen Maschine auf KVM-Qemu-Basis unter Ubuntu auszubrechen und Schadcode auf dem Hostsystem auszuführen. Hinzu kamen Sicherheitslücken in Adobes PDF Reader sowie dem D-Link-Router DIR-878. Laut dem Veranstalter sollen alle im Rahmen des Wettbewerbs verwendeten Sicherheitslücken an die Hersteller gemeldet werden, damit diese behoben werden können.

Mit einem Bonus von 382.500 US-Dollar gewann das Team 360Vulcan der chinesischen Sicherheitsfirma Qihoo360 den Wettbewerb. Qihoo360 hatte in der Vergangenheit mit den beiden firmeneigenen TLS-Zertifizierungsstellen Wosign und Startcom für Schlagzeilen gesorgt. Mozilla und Google hatten den Zertifizierungsstellen das Vertrauen entzogen und warfen ihnen vor, die Browser-Community in die Irre geführt zu haben, statt aufgedeckte Schwachstellen adäquat zu beseitigen. Zudem hätten die Zertifizierungsstellen versucht, Beschränkungen der Browser bei SHA1-Zertifikaten zu umgehen, indem sie Zertifikate rückdatierten. Zeitweise war es zudem möglich, Zertifikate für Github.com auszustellen, sofern der Antragssteller Kontrolle über eine Subdomain von Github hatte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Sandisk SSD Plus 1TB 91,99€, WD MyBook 8TB HDD für 139,90€, Crucial P2 2TB PCIe-SSD...
  2. (u. a. Roborock S5 Max Saugroboter mit Wischfunktion für 364€, Xiaomi Stielstaubsauger für...
  3. (u. a. Samsung Kopfhörer und Watches (u. a. Galaxy Buds Live In-Ears für 89,99€, Galaxy Watch...
  4. (u. a. Dungeons 3 für 11,99€, Soulcalibur 6 für 8,50€, Metal Gear Rising: Revengeance für 4...

Folgen Sie uns
       


Xbox Series X und S - Fazit

Im Video zum Test der Xbox Series X und S zeigt Golem.de die Hardware und das Dashboard der Konsolen von Microsoft.

Xbox Series X und S - Fazit Video aufrufen
Bundestagswahl 2021: Die Rache der Uploadfilter
Bundestagswahl 2021
Die Rache der Uploadfilter

Die Bundestagswahl im September scheint immer noch weit weg zu sein. Doch gerade das Thema Corona könnte die Digitalisierung in den Mittelpunkt des Wahlkampfs rücken.
Eine Analyse von Friedhelm Greis


    Wissen für ITler: 11 tolle Tech-Podcasts
    Wissen für ITler
    11 tolle Tech-Podcasts

    Die Menge an Tech-Podcasts ist schier unüberschaubar. Wir haben ein paar Empfehlungen, die die Zeit wert sind.
    Von Dennis Kogel


      EOS 5D Mark I und Mark II: Gebrauchte Vollformatkameras ab 100 Euro
      EOS 5D Mark I und Mark II
      Gebrauchte Vollformatkameras ab 100 Euro

      Canons EOS 5D und Mark II sind im Jahr 2021 eine gute Wahl für die Hobbyfotografie. Wir erklären, was beim Gebrauchtkauf zu beachten ist.
      Ein Erfahrungsbericht von Martin Wolf

      1. Blackmagic Design Pocket Cinema Camera 6K Pro macht Anwenderwünsche wahr
      2. Leica Q2 Monochrom im Test Nur Schwarz-Weiß-Aufnahmen für stolze 5.590 Euro
      3. Metalenz Einzelne Linse könnte Smartphone-Kameras flacher machen

        •  /