Hacker-Wettbewerb: Pwn2Own: Microsoft Edge erfolgreich angegriffen

Obwohl der Begriff Hacker-Wettbewerb ein bisschen böse klingt, ist der jährlich stattfindende Pwn2Own-Contest eine gute Sache. Dort treten Hacker an und zeigen Schwachstellen in zahlreichen Software-Produkten auf. Windows, MacOS, Flash, Google Chrome – hier wird alles angegriffen, was Rang und Namen hat, und für die aufgedeckten Schwachstellen werden durchaus stattliche Preisgelder bezahlt. Gesponsert wird Pwn2Own von Trend Micro und Hewlett Packard.

Am ersten Tag des Wettbewerbs wurden Schwachstellen in Safari, dem Flash Player, Google Chrome und Windows offen gelegt, am zweiten Tag ging es Microsoft Edge an den Kragen. Gleich zwei Sicherheitslücken im neuen Browser wurde aufgezeigt.

JungHoon Lee gelang es, via Edge Schadcode in ein System einzuschleusen und diesen dort mit Systemrechten auszuführen. Dafür nutzte er sowohl eine Anfälligkeit in Edge als auch eine in Windows, was ihm eine Prämie von 85.000 Dollar einbrachte.

Das Tencent Security Team Sniper kombinierte ebenfalls Lücken in Edge und Windows. Mit einem “klassischen” Pufferüberlauf wurde so eine Remotecodeausführung demonstriert. Dafür gab es 52.500 Dollar.

Die Tatsache, dass da zwei Sicherheitslücken aufgedeckt wurden, halt ich schon beinahe für nebensächlich. Das gehört ja in allen Arten von Software zum Tagesgeschäft. Im Zusammenhang mit Edge finde ich das dann aber doch wieder bemerkenswert, da dieser ja angeblich “nur” eine App sein soll. Zumindest wurde es einst so dargestellt und es wurde gesagt, das habe den Vorteil, dass man den Browser unabhängig vom System weiterentwickeln könne.

Tatsächlich hat Edge noch nie eine neue Funktion gesehen, die unabhängig von einem Betriebssystem-Update gewesen wäre. Er ist eben genau wie der Internet Explorer ein integraler Bestandteil des Betriebssystems, wie die beiden oben aufgedeckten Sicherheitslücken unterstreichen.

via ZDnet