Hacker-Wettbewerb: Pwn2Own: Microsoft Edge erfolgreich angegriffen

Obwohl der Begriff Hacker-Wettbewerb ein bisschen böse klingt, ist der jährlich stattfindende Pwn2Own-Contest eine gute Sache. Dort treten Hacker an und zeigen Schwachstellen in zahlreichen Software-Produkten auf. Windows, MacOS, Flash, Google Chrome – hier wird alles angegriffen, was Rang und Namen hat, und für die aufgedeckten Schwachstellen werden durchaus stattliche Preisgelder bezahlt. Gesponsert wird Pwn2Own von Trend Micro und Hewlett Packard.

Am ersten Tag des Wettbewerbs wurden Schwachstellen in Safari, dem Flash Player, Google Chrome und Windows offen gelegt, am zweiten Tag ging es Microsoft Edge an den Kragen. Gleich zwei Sicherheitslücken im neuen Browser wurde aufgezeigt.

JungHoon Lee gelang es, via Edge Schadcode in ein System einzuschleusen und diesen dort mit Systemrechten auszuführen. Dafür nutzte er sowohl eine Anfälligkeit in Edge als auch eine in Windows, was ihm eine Prämie von 85.000 Dollar einbrachte.

Das Tencent Security Team Sniper kombinierte ebenfalls Lücken in Edge und Windows. Mit einem „klassischen“ Pufferüberlauf wurde so eine Remotecodeausführung demonstriert. Dafür gab es 52.500 Dollar.

Die Tatsache, dass da zwei Sicherheitslücken aufgedeckt wurden, halt ich schon beinahe für nebensächlich. Das gehört ja in allen Arten von Software zum Tagesgeschäft. Im Zusammenhang mit Edge finde ich das dann aber doch wieder bemerkenswert, da dieser ja angeblich „nur“ eine App sein soll. Zumindest wurde es einst so dargestellt und es wurde gesagt, das habe den Vorteil, dass man den Browser unabhängig vom System weiterentwickeln könne.

Tatsächlich hat Edge noch nie eine neue Funktion gesehen, die unabhängig von einem Betriebssystem-Update gewesen wäre. Er ist eben genau wie der Internet Explorer ein integraler Bestandteil des Betriebssystems, wie die beiden oben aufgedeckten Sicherheitslücken unterstreichen.

via ZDnet

Über den Autor
Martin Geuß
  • Martin Geuß auf Facebook
  • Martin Geuß auf Twitter
Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als elf Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.



Kommentare
  1. Hab mich auch schon die ganze zeit gewundert warum der nie updates bekommt im store und neue funktionen sollen ja nur durch system updates kommen.
    Hatte dazu auch mal bei MS nachgehakt und die Aussage erhalten, dass eine Auslagerung aus dem OS mit Redstone kommen würde, der Edge bis dahin noch im Basis-OS enthalten sein wird.
    Wir werden sehen...
    Ich kann bei dem Thema nur beipflichten, dass es eigtl traurig ist, dass man bei Microsoft gesagt hat, dass Edge eine eigenständige App sein wird, sie ist ed nicht.. Aber wie es vermutlich so ist, ist das eine Entscheidung aufgrund der Performance. Wir haben ja alle mitbekommen, als die Musik-App etc. keine integrierten Apps mehr waren, wie die Performance deutlich schlechter war als bei den alten Apps. Wenn man mit dem Set arbeiten muss, welches man den Entwicklern bereitstellt, bekommt man bei Microsoft vielleicht doch mal mit, dass man die Entwickler teils ganz schön vor die Füße tritt.. Aber ich will mich hier nicht schon wieder unnötig aufregen.
    Wundert euch doch nicht, bei MS kommt es oft anders als gesagt wurde.
    Daran müßtet ihr euch doch inzwischen gewöhnt haben.;)
    Man sollte noch hinzufügen das zwar alle Browser Sicherheitslücken aufwiesen, Chrome blieb relativ standhaft. Er wurde 2x attackiert und beide versuche führten nicht zum Ziel während Edge bei beiden Angriffen komplett gehackt wurde, Safari sogar 3x. Soll jeder selbst entscheiden aber für meine Sicherheit setzte ich weiter auf Chrome. Insgesamt gab es 21 Sicherheitslücken. 6 mal MS, 5 mal Apple OS X, 4 mal Flash, 3 mal Safari, 2 auf Microsoft Edge und einer bei Chrome. Allerdings war die Sicherheitslücke schon im Vorfeld bekannt.
    "Er ist eben genau wie der Internet Explorer ein integraler Bestandteil des Betriebssystems, wie die beiden oben aufgedeckten Sicherheitslücken unterstreichen."
    Nach der Argumentation ist (fast) jeder Browser ein integraler Bestandteil des Betriebssystems, denn das was die dort mit Edge demonstriert haben geht auch mit Chrome, Firefox, Opera, etc.
    Hatte dazu auch mal bei MS nachgehakt und die Aussage erhalten, dass eine Auslagerung aus dem OS mit Redstone kommen würde, der Edge bis dahin noch im Basis-OS enthalten sein wird.
    Wir werden sehen...

    Redstone.....scheint der neue Messias zu sein der alles heilt und alles vorstellbare bringt!
    Auch nicht richtig. Edge bekommt im Rahmen der Patchdays seine Updates. Microsoft liefert aber auch unabhängig vom Patchday das eine oder andere Update aus z.B. wenn es Flash betrifft.
    Der Browser selber, bekommt aktuelle aber nur via OS-Upgrade eine Funktionserweiterung. Das wäre aber auch losgelöst davon möglich.
    Der Browser selber ist aber eine "APP", nur eine die Stärker als andere mit dem Windows verzahnt ist dennoch nicht so tief mit Windows verzahnt wie der IE. Dennoch auch fester Bestandteil des OS
    @Martin:
    Kannst du noch etwas Butter bei die Fische geben? Wurde Edge remote gehackt oder ist ein physikalischer Zugriff auf den Rechner erforderlich? Sind die Hacks möglich, wenn der Benutzer mit eingeschränkten Rechten eingeloggt ist oder sind Adminrechte erforderlich? Die Antworten auf diese Fragen sind erforderlich, um die (vermutete?) Bedrohungslage einschätzen zu können.
    ;1111869">"Er ist eben genau wie der Internet Explorer ein integraler Bestandteil des Betriebssystems, wie die beiden oben aufgedeckten Sicherheitslücken unterstreichen."
    Nach der Argumentation ist (fast) jeder Browser ein integraler Bestandteil des Betriebssystems, denn das was die dort mit Edge demonstriert haben geht auch mit Chrome, Firefox, Opera, etc.

    Nein ich glaub er meint das Apps eig. sicherer sein sollten als normale Software, da UWA's normalerweise in einer eigenen Sandbox abgeschotten vom System laufen. Weiss jetzt nicht ob die da eine generelle Lücke im UWP System genutzt haben, aber ansonsten sollte Egde eig. ja von sowas abgeschotten sein.
    Setter
    Auch nicht richtig. Edge bekommt im Rahmen der Patchdays seine Updates. Microsoft liefert aber auch unabhängig vom Patchday das eine oder andere Update aus z.B. wenn es Flash betrifft.
    Der Browser selber, bekommt aktuelle aber nur via OS-Upgrade eine Funktionserweiterung. Das wäre aber auch losgelöst davon möglich.
    Der Browser selber ist aber eine "APP", nur eine die Stärker als andere mit dem Windows verzahnt ist dennoch nicht so tief mit Windows verzahnt wie der IE. Dennoch auch fester Bestandteil des OS

    Der IE bekam auch innerhalb der Patchdays Sicherheitsupdates und Flash-Updates. Es geht eher darum, dass MS schon seit Windows 8.1 angekündigt hatte, mehr und mehr Systemfunktionen (inklusive dem neuen Browser Edge als W10 angekündigt wurde) vom System loszulösen, damit schneller Updates nachgereicht werden könnten. Edge wurde als UWA programmiert, aber das scheint bisher einfach keinen Vorteil zu haben. Vielleicht liegt der Vorteil ja nur bei MS intern, dass sie Edge leichter gleichzeitig für alle Plattformen weiterentwickeln können, wer weiss.
    Auf jeden Fall kann man sagen, dass Edge keine wirkliche UWA ist, wie es sein sollte/könnte. Erst wenn er auch (de)installierbar aus dem Store wird, dann ja ^^
    Da die Sicherheitslücken nur in Verbindung mit Sicherheitslücken im BS genutzt werden konnten "unterstreicht" das noch garnicht. Hinweisgebend auf eine Integration im BS würde eine Lücke geben, wenn diese ohne BS-Lücke auf sensibel Bereiche außerhalb von Edge zugreifen könnte.
    Irgendwie peinlich wie oft Microsoft in letzter Zeit beim Lügen erwischt wird...
    * Edge ist keine App
    * Windows Hello kann nicht das Passwort ersetzen
    * Provisioning Packages können nicht mal 1/4 von den was versprochen wurde
    * Windows Update for Business kann eigentlich gar nix
    * Das Band 2 ist qualitativ nicht viel besser als das 1er
    * Gamer mit NVIDIA Grafikkarten sollten ihre Finger von W10 lassen
    * von W10M und seiner Performance sowie den fehlenden Features rede ich garnicht
    Da ist nicht viel Raum für Verbesserungen, sie werden den meisten brauchen, das zu liefern was sie behauptet haben schon zu haben, aber scheinbar vergessen haben zu machen ;-)
Nach oben