Hacker-Wettbewerb: Pwn2Own: Microsoft Edge erfolgreich angegriffen
Am ersten Tag des Wettbewerbs wurden Schwachstellen in Safari, dem Flash Player, Google Chrome und Windows offen gelegt, am zweiten Tag ging es Microsoft Edge an den Kragen. Gleich zwei Sicherheitslücken im neuen Browser wurde aufgezeigt.
JungHoon Lee gelang es, via Edge Schadcode in ein System einzuschleusen und diesen dort mit Systemrechten auszuführen. Dafür nutzte er sowohl eine Anfälligkeit in Edge als auch eine in Windows, was ihm eine Prämie von 85.000 Dollar einbrachte.
Das Tencent Security Team Sniper kombinierte ebenfalls Lücken in Edge und Windows. Mit einem “klassischen” Pufferüberlauf wurde so eine Remotecodeausführung demonstriert. Dafür gab es 52.500 Dollar.
Die Tatsache, dass da zwei Sicherheitslücken aufgedeckt wurden, halt ich schon beinahe für nebensächlich. Das gehört ja in allen Arten von Software zum Tagesgeschäft. Im Zusammenhang mit Edge finde ich das dann aber doch wieder bemerkenswert, da dieser ja angeblich “nur” eine App sein soll. Zumindest wurde es einst so dargestellt und es wurde gesagt, das habe den Vorteil, dass man den Browser unabhängig vom System weiterentwickeln könne.
Tatsächlich hat Edge noch nie eine neue Funktion gesehen, die unabhängig von einem Betriebssystem-Update gewesen wäre. Er ist eben genau wie der Internet Explorer ein integraler Bestandteil des Betriebssystems, wie die beiden oben aufgedeckten Sicherheitslücken unterstreichen.
via ZDnet
Thema:
- Windows 10
Über den Autor
Martin Geuß
Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als 17 Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!