Die Teilnehmer des Hackerwettbewerbs Pwn2Own auf der Sicherheitskonferenz CanSecWest haben sich nach Google Chrome und Microsofts Internet Explorer auch den Firefox vorgenommen. Über eine bislang unbekannte Sicherheitslücke - einen Zero-Day-Exploit - konnten Vincenzo Iozzo und Willem Pinckaers dem Mozilla-Browser Schadcode unterschieben und gewannen damit den mit 30.000 US-Dollar dotierten zweiten Preis des Wettbewerbs. Der erste Preis mit 60.000 Dollar ging für das Knacken von Chrome und IE an das Team der Sicherheitsfirma Vupen.

In der aktuellen stabilen Version 10.0.2 unter Windows 7 SP 1 nahmen sich Pinckaers und Iozzo Firefox vor. Die beiden nutzten eine "Use-after-free"-Schwachstelle aus, bei der auf einen bereits freigegebenen Speicherbereich zugegriffen wird und hebelten die Schutzfunktionen Datenausführungsverhinderung (Data Execution Prevention, DEP) sowie Speicherverwürfelung (Address Space Layout Randomization, ASLR) aus, wie ZDNet berichtet.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE