> > > > Microsofts IE 9 unsicherer als Googles Chrome Browser

Microsofts IE 9 unsicherer als Googles Chrome Browser

Veröffentlicht am: von

ie9Heute ist der letzte Tag des Pwn2Own-Wettbewerbs, bei dem es darum geht, in Webanwendungen – zumeist Browsern – einzubrechen und Schadcode auf dem Computersystem auszuführen. Vor allem sollen dabei bisher unbekannte Sicherheitslücken aufgedeckt werden - auch als “zero-day-attack” bekannt. Für die Gewinner gibt es neben dem Gerät, in das sie erfolgreich eingebrochen sind, einen Geldpreis und natürlich die Anerkennung der Sicherheitsbranche.

In diesem Jahr hatte es am ersten Tag Googles Chrome-Browser erwischt. Dem russischen Hacker Sergey Glaznov war es gelungen, aus der Sandbox des Browser auszubrechen und auf dem darunter liegenden System beliebigen Code auszuführen. Da die Lücke vorher nicht bekannt war, qualifizierte er sich für ein Preisgeld von 60.000 US Dollar, das Google auf der Parallelveranstaltung Pwnium ausgeschrieben hatte.

shell

Die Sandbox ist, vereinfacht dargestellt, dafür da, den Code einer Webseiten nur innerhalb des Browsers auszuführen. Damit soll verhindert werden, dass Codefragmente in einen Speicherbereich vordringen können, in dem sie in direktem Kontakt mit dem Betriebssystem kommen und Schaden anrichten können.

Gestern wurde dann der Internet Explorer 9 Opfer eines Hackerangriffs. Mit dem System, das aus einem vollständig gepatchtem Internet Explorer 9 und Windows 7 mit Service Pack 1 auf einem ASUS-Laptop bestand, hatte das französische Team von Vupen Security leichtes Spiel. Durch eine Kombination kleiner Lücken, gelang es ihnen ebenfalls aus der Sandbox auszubrechen und das Rechnerprogramm von Windows auszuführen.

Chaouki Bekrar, CEO von Vupen Security, erklärte in einem Interview mit Ars Technica: “Wir wollen zeigen, dass es keine 100 prozentige Sicherheit gibt. Selbst ein vollständig gepatchtes System kann kompromittiert werden.” Und weiter: “Unglücklicherweise ist es einfacher, aus der Sandbox des Internet Explorer als der von Chrome auszubrechen. Die Sandbox des Internet Explorers ist weniger restriktiv und erzeugt mehr Fehler im Speichermanagement als Chrome es tut.”

Allerdings machte Bekrar die Einschränkung, dass die Aussagen nur für den aktuellen Internet Explorer 9 gelten, denn die Beta-Version des Nachfolgers auf einem System mit Windows 8 würde nach Bekrar viele Probleme abstellen und auf einer Augenhöhe mit Chrome stehen. Bekrar prognostizierte dann: “Der neue geschützte Modus [d.h. die Sandbox bei IE] ist sehr viel sicherer und restriktiver. Der IE 10 auf Windows 8 wird eine große Herausforderung für uns darstellen.”

Der ebenfalls anwesende Mike Reavey, Senior Director von Microsofts Security Response Center, fand seine Strategie, Sicherheitskonzepte schon in den frühen Stadien der Entwicklung einer neuen Browserversion zu implementieren, dann auch bestätigt. Er sagte dazu: “Es ist schön, von einem externen Sicherheitsdienstleister gesagt zu bekommen, dass es in der kommenden Version sehr viel schwieriger sein wird. Das ist genau das, was wir von externen Entwicklern hören wollen.”

Schlussendlich ist die Pwn2Own wieder einmal ein Erfolg für Sicherheitsexperten auf beiden Seiten und zeigt, dass die Entwicklung eines sicheren Browsers ein stetiger Prozess ist, bei dem mal der eine, mal der andere Hersteller die Nase vorn hat. Am Ende ist es anscheinend der Benutzer, der das größte Sicherheitsrisiko darstellt.

Social Links

Kommentare (2)

#1
Registriert seit: 13.04.2004

Hauptgefreiter
Beiträge: 180
Ich versteh nicht, was das Bild mit der Nachricht zu tun hat.
Es zeigt jediglich eine manpage und eine offene shell mit einem Befehl der ohne super user Rechte eh nicht funktioniert.
#2
Registriert seit: 12.10.2008

Obergefreiter
Beiträge: 85
Zitat Xaseron;18571549
Es zeigt jediglich


Möge die Shell mit ihm sein!

Schön zu hören, dass der IE endlich ein sicherer Browser wird :)
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

  • AVM liefert FRITZ!Box 6591 Cable mit DOCSIS 3.1 aus

    Logo von IMAGES/STORIES/2017/AVM

    AVM hat damit begonnen, die ersten Exemplare der FRITZ!Box 6591 Cable auszuliefern. Der Hersteller hat seinen neusten Kabel-Router schon vor einigen Monaten vorgestellt und setzt diesen nun im Politbetrieb bei Unitymedia ein. Der Kabelnetzbetreiber hat in Bochum das Kabelnetz bereits auf den neuen... [mehr]

  • Telekom baut VDSL-Anschlüsse zurück und kündigt 30.000 Anschlüsse

    Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM_BREITBAND_GLASFASER

    Kurz vor dem Wochenende tauchten die ersten Meldungen über massenhaft gekündigte VDSL-Anschlüsse in Niedersachsen auf. 30.000 Anschlüsse sollen dort davon betroffen sein. Als Grund werden fehlgeschlagene Verhandlungen mit EWE über einen Mietvertrag für VDSL-Leitungen... [mehr]

  • Cloudflare bietet unter 1.1.1.1 einen offenen DNS an

    Logo von IMAGES/STORIES/2017/DNS-1111

    Wann immer eine Internetadresse wie www.hardwareluxx.de im Browser eingegeben wird, sorgt das Domain Name System (DNS) für die Namensauflösung in die entsprechende IP-Adresse des Servers. Ohne DNS bestünde unser Internet nur aus IP-Adressen, was spätestens im Falle von IPv6 zu... [mehr]

  • Schweizer ISP bietet 10 GBit/s für 34 Euro

    Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM_BREITBAND_GLASFASER

    Während in Deutschland über eine flächendeckende Internetversorgung mit mindestens 50 MBit/s gesprochen wird und WLAN in Bussen bis 2050 diskutiert wird, sind andere Länder schon weiter. Die neue Bundesregierung hat zumindest schon einmal den Ausbau der digitalen Infrastruktur in den Fokus... [mehr]

  • Vodafone garantiert bei 500-Mbit/s-Anschlüssen nur 200 Mbit/s

    Logo von IMAGES/STORIES/2017/VODAFONE_LOGO

    Vodafone hat schon vor einigen Monaten mit der Vermarkten von Anschlüsse mit 500 Mbit/s über das Kabelnetz begonnen. Der Ausbau ist in der Zwischenzeit vorangeschritten und das Unternehmen meldet, dass fast 30 % der angebundenen Haushalte auf die derzeit höchste Geschwindigkeit zugreifen... [mehr]

  • 250 Megabit für 15 Millionen: Deutsche Telekom will Super-Vectoring zügig...

    Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM_BREITBAND_GLASFASER

    Während die Bundesregierung den Internet-Ausbau weiter auf die lange Bank schieben will, möchte die Deutsche Telekom schneller als erwartet Fakten schaffen. Schon bis zum Jahresende sollen 15 Millionen Haushalte an das Super-Vectoring-Netz angeschlossen werden. Freuen dürfen sich vermutlich aber... [mehr]