Internet Explorer, Firefox und Chrome beim Pwn2Own Contest geknackt

Freakless08

Volt-Modder(in)
Auf dem Hacker-Wettbewerb Pwn2Own wurde der aktuelle Internet Explorer auf einem komplett gepatchten Windows 7 System geknackt. Hierzu hat das Team Vupen zwei 0-day Lücken ausgenutzt welche den DEP (Datenausführungsverhinderung von Windows) überlistet sowie die Sandbox (der Protected Mode) des Internet Explorer umgeht.
Somit hat der Angreifer kompletten zugriff auf das System und es lassen sich Daten als Admin nachinstallieren.

Das Opfer muss laut den Hackern nur eine präparierte Internetseite aufrufen, welcher die beiden 0-day Lücke im Hintergrund einschleusen kann und somit seine "arbeit" erledigt.

Pwn2Own-Teilnehmer knacken auch Internet Explorer | heise Security

Update :
Wie heute bekannt wurde, wurde der Firefox 10.0.2 auch mit einer 0-day Lücke von Vincenzo Iozzo und Willem Pinckaers geknackt.
Die Preisgeldausschüttung sieht wie folgt aus:

1. Platz | Vupen | Knacken vom Internet Explorer und Chrome | 60.000 $ Preisgeld
2. Platz | Vincenzo Iozzo und Willem Pinckaers | Knacken von Firefox | 30.000 $ Preisgeld

Pwn2Own: Auch Firefox geknackt | heise Security
 
Zuletzt bearbeitet:
AW: Internet Explorer beim Pwn2Own Contest geknackt

Zitat Nelson:"HaHa!" Hab FF!
 
AW: Internet Explorer beim Pwn2Own Contest geknackt

Zitat Nelson:"HaHa!" Hab FF!

Ich schätze mal dass es auch da nur eine Frage der Zeit ist (wenn nicht schon geschehen) dass auch der geknackt wird.
Aber ich kann nicht leugnen dass ich nicht überrascht bin wenn es jetzt bei Chome und dem IE so schnell ging :D

PS: Ich mag Full Metal Jacket auch, Private Schneewittchen! :lol:
 
AW: Internet Explorer beim Pwn2Own Contest geknackt

Wenn es danach geht was man Hacken, Cracken oder sonst was kann, dann darf man seinen Rechner nicht mehr an das Internet lassen.

Man kann ALLES zu 100% knacken. Es gibt kein Programm man nicht ausheben kann über eine Möglichkeit.

Außerdem verstehe ich nicht was daran so besonders ist den IE aus zu hebeln? Alle Produkte von M$ waren bisher binnen weniger Stunden geknackt worden.
 
AW: Internet Explorer beim Pwn2Own Contest geknackt

Man kann ALLES zu 100% knacken.

Dann knacke doch mal Verschlüsselungsfunktionen wie Twofish oder Serpent... wenn du das schaffst garantiere ich dir dass du nie wieder in deinem Leben Geldsorgen haben wirst ;-)

Wiki sagt dazu beispielsweise (Twofish Algorithmus):
"Die bisher beste veröffentlichte Angriffsmöglichkeit in Form einer Distinguishing Attack ist nach Moriai & Yin die beschränkte differentielle Analyse. Das Dokument beschreibt, dass die Wahrscheinlichkeit für beschränkte Differentiale 2-57.3 pro Block beträgt und dass man annähernd 251 gewählte Klartexte (etwa 32 PiB Daten) benötigt, um ein brauchbares Paar von beschränkten Differentialen zu finden und dadurch das Chiffrat von einer Zufallszahlenfolge unterscheiden zu können.[1]
Bruce Schneier antwortete 2005 in einem Blog-Beitrag, dass das Dokument keine vollständige Kryptoanalyse präsentiert, sondern nur einige charakteristische Hypothesen der differentiellen Analyse. Dies würde aus praktischer Sicht bedeuten, dass Twofish nicht im Entferntesten gebrochen werden konnte"
 
AW: Internet Explorer beim Pwn2Own Contest geknackt

Dann knacke doch mal Verschlüsselungsfunktionen wie Twofish oder Serpent... wenn du das schaffst garantiere ich dir dass du nie wieder in deinem Leben Geldsorgen haben wirst ;-)

Wiki sagt dazu beispielsweise (Twofish Algorithmus):
"Die bisher beste veröffentlichte Angriffsmöglichkeit in Form einer Distinguishing Attack ist nach Moriai & Yin die beschränkte differentielle Analyse. Das Dokument beschreibt, dass die Wahrscheinlichkeit für beschränkte Differentiale 2-57.3 pro Block beträgt und dass man annähernd 251 gewählte Klartexte (etwa 32 PiB Daten) benötigt, um ein brauchbares Paar von beschränkten Differentialen zu finden und dadurch das Chiffrat von einer Zufallszahlenfolge unterscheiden zu können.[1]
Bruce Schneier antwortete 2005 in einem Blog-Beitrag, dass das Dokument keine vollständige Kryptoanalyse präsentiert, sondern nur einige charakteristische Hypothesen der differentiellen Analyse. Dies würde aus praktischer Sicht bedeuten, dass Twofish nicht im Entferntesten gebrochen werden konnte"

Gut, es gibt schon sehr sichere dinge. Aber selbst das ist nicht zu 100% sicher. Meine Aussage war so gemeint, dass man mit genug Zeit und Rechenkapazität alles aushebeln kann. Allerdings wird es bei so einem Algorithmus länger als ein Leben daunern, was dann das ganze Problem an der Sache ist.
 
AW: Internet Explorer beim Pwn2Own Contest geknackt

Dann knacke doch mal Verschlüsselungsfunktionen wie Twofish oder Serpent... wenn du das schaffst garantiere ich dir dass du nie wieder in deinem Leben Geldsorgen haben wirst ;-)

Wiki sagt dazu beispielsweise (Twofish Algorithmus):
"Die bisher beste veröffentlichte Angriffsmöglichkeit in Form einer Distinguishing Attack ist nach Moriai & Yin die beschränkte differentielle Analyse. Das Dokument beschreibt, dass die Wahrscheinlichkeit für beschränkte Differentiale 2-57.3 pro Block beträgt und dass man annähernd 251 gewählte Klartexte (etwa 32 PiB Daten) benötigt, um ein brauchbares Paar von beschränkten Differentialen zu finden und dadurch das Chiffrat von einer Zufallszahlenfolge unterscheiden zu können.[1]
Bruce Schneier antwortete 2005 in einem Blog-Beitrag, dass das Dokument keine vollständige Kryptoanalyse präsentiert, sondern nur einige charakteristische Hypothesen der differentiellen Analyse. Dies würde aus praktischer Sicht bedeuten, dass Twofish nicht im Entferntesten gebrochen werden konnte"

Ja klar, das ist aber auch ein Unterschied ob man ein verschlüsseltes File oder einen algorithmus knackt oder das Ziel ein Programm an sich selber ist.
Ich denke mal da ist der wesentliche Unterschied.

Zum Thema Browser. So schlecht ist der IE nicht. Daher ist es auch nicht verwunderlich, dass er in Unternehmen weiterhin der Standart nr. 1 bleibt.
Noch im August 2011 galt der IE 9 als Sicherster Browser neben Chrome, Firefox usw.
Ich verstehe die Leute nicht die immer auf der Schiene "IE" ist unsicher und alles andere ist sicher fahren - da kann man sich Mal ganz schön verrennen ;)
Zumal man auch bedenken muss, dass Microsoft bestimmt nicht die dümmsten Entwickler hat, genug Geld für Sicherheitsforscher und Analysten hat und nicht zuletzt für das eigen Entwickelte Betriebssystem wohl am meisten Basiswissen mitbringt.

Soweit ich gelesen habe - ist der Chrome auf die selbe Art und Weise genkackt worden wie der IE auch?
Jan565 ich stimme dir zu, zumindest wenn es sich um Betriebssysteme und Programme handelt.

Was verschlüsselung angeht ist wohl eine Sache für sich. In den USA ist die 1024 Bit verschlüsselung sogar verboten - warum nur? Weil Behörden keine Einsicht kriegen könnten? :schief: Aber auch die ist nicht unknackbar - nur leben wir irdischen Wesen zu wenig lange um das gecrackte Ergebnis zu bestaunen oder verfügen nicht über genug Rechenleistung das inner nützlicher Frist zu erledigen ^^ Und was mich bei deinem Beispiel wundert ist, wieso man etwas so verschlüsselt dass es nicht mehr entschlüsselbar ist - dann ist es ja auch für den Besitzer quasi "unbrauchbar".
 
Zuletzt bearbeitet:
AW: Internet Explorer beim Pwn2Own Contest geknackt

Ich hab Nightly von daher :D
Aber schon krass das man immer noch nicht sicher genug im Netz surfen kann...
 
AW: Internet Explorer beim Pwn2Own Contest geknackt

Intressant, also leben falls sie teilnehmen Opera, FF und Safari noch. Bleiben wird mal bei den bekannte Browsern gibt ja noch mehr als diese.
Ich beleib unter Win beum Opera, der Rest taugt imho nicht viel. Habe alles ausprobiert und auch alle außerden Safari atm installiert.
 
AW: Internet Explorer beim Pwn2Own Contest geknackt

Und was mich bei deinem Beispiel wundert ist, wieso man etwas so verschlüsselt dass es nicht mehr entschlüsselbar ist - dann ist es ja auch für den Besitzer quasi "unbrauchbar".
Der Besitzer hat im Normalfall noch sein Passwort zu den Daten - damit ist die Entschlüsselung kinderleicht ;-)
Wenn man aber das PW vergessen haben sollte bei einem TrueCrypt File wars das, stimmt.
 
AW: Internet Explorer beim Pwn2Own Contest geknackt

Uih 2 von bestimmt 50 Zero Days wurden bekannt gemacht. :ugly:

Btw. heißt das alles andere als das der IE weniger sich als der FF, Chrome, Opera oder Safari ist. Wenn ein Team die 5 knackt und die Zeit dafür stoppt. Kann man sich die Reihenfolge aussuchen in der die Browser fallen. Wenn 10 Teams das machen und dabei die Zeit stoppen, wird jeder Browser mal zuerst geknackt sein.

Außerdem gibt es einen 0Day der seit 3.0 im FF vorhanden ist und immer noch nicht gefixxt wurde, wahrscheinlich gibt es mehr, aber diesen einen kann ich bestätigen.
 
AW: Internet Explorer beim Pwn2Own Contest geknackt

Guess the Browser! :ugly:
 

Anhänge

  • H4lcN.jpg
    H4lcN.jpg
    520,7 KB · Aufrufe: 244
AW: Internet Explorer beim Pwn2Own Contest geknackt

Naja, mag zwar sein, dass man jedes Programm knacken kann...aber brain.exe und entsprechende Sicherheitssoftware können da doch schon helfen...

und was bringt mir auch die sicherste Verschlüsslung, wenn das Passwort "Passwort" lautet.

:ugly: 123456789 ist da wesentlich besser, da kommt bestimmt niemand drauf. :ugly:
 
AW: Internet Explorer beim Pwn2Own Contest geknackt

Dann knacke doch mal Verschlüsselungsfunktionen wie Twofish oder Serpent... wenn du das schaffst garantiere ich dir dass du nie wieder in deinem Leben Geldsorgen haben wirst ;-)

Wiki sagt dazu beispielsweise (Twofish Algorithmus):
"Die bisher beste veröffentlichte Angriffsmöglichkeit in Form einer Distinguishing Attack ist nach Moriai & Yin die beschränkte differentielle Analyse. Das Dokument beschreibt, dass die Wahrscheinlichkeit für beschränkte Differentiale 2-57.3 pro Block beträgt und dass man annähernd 251 gewählte Klartexte (etwa 32 PiB Daten) benötigt, um ein brauchbares Paar von beschränkten Differentialen zu finden und dadurch das Chiffrat von einer Zufallszahlenfolge unterscheiden zu können.[1]
Bruce Schneier antwortete 2005 in einem Blog-Beitrag, dass das Dokument keine vollständige Kryptoanalyse präsentiert, sondern nur einige charakteristische Hypothesen der differentiellen Analyse. Dies würde aus praktischer Sicht bedeuten, dass Twofish nicht im Entferntesten gebrochen werden konnte"

Eine Verschlüsselung alleine ist kein Garant dafür dass ein System nicht gehackt werden kann.
Ohne Passwort (bzw. ohne genügend Rechenleistung/Zeit) kann ich in den Fällen warscheinlich nie etwas mit den verschlüsselten Daten anfangen.
Aber es gibt immer Wege die Verschlüsselung selbst zu umgehen sodass mir der sicherste Verschlüsselungsalgorithmus nix mehr nützt :ugly:
Aus dem Grund gibt es auch keine "unknackbaren" Systeme .. alles, was sich der Mensch ausdenkt, kann er selbst auch wieder umgehen.
 
AW: Internet Explorer beim Pwn2Own Contest geknackt

Eine Verschlüsselung alleine ist kein Garant dafür dass ein System nicht gehackt werden kann.
Ohne Passwort (bzw. ohne genügend Rechenleistung/Zeit) kann ich in den Fällen warscheinlich nie etwas mit den verschlüsselten Daten anfangen.
Aber es gibt immer Wege die Verschlüsselung selbst zu umgehen sodass mir der sicherste Verschlüsselungsalgorithmus nix mehr nützt :ugly:
Aus dem Grund gibt es auch keine "unknackbaren" Systeme .. alles, was sich der Mensch ausdenkt, kann er selbst auch wieder umgehen.

Nein, aber verbreite weiter Halbwissen. :P
 
AW: Internet Explorer beim Pwn2Own Contest geknackt

Zum Thema Browser. So schlecht ist der IE nicht. Daher ist es auch nicht verwunderlich, dass er in Unternehmen weiterhin der Standart nr. 1 bleibt.
Noch im August 2011 galt der IE 9 als Sicherster Browser neben Chrome, Firefox usw.
Ich verstehe die Leute nicht die immer auf der Schiene "IE" ist unsicher und alles andere ist sicher fahren - da kann man sich Mal ganz schön verrennen ;)
Zumal man auch bedenken muss, dass Microsoft bestimmt nicht die dümmsten Entwickler hat, genug Geld für Sicherheitsforscher und Analysten hat und nicht zuletzt für das eigen Entwickelte Betriebssystem wohl am meisten Basiswissen mitbringt.

Soweit ich gelesen habe - ist der Chrome auf die selbe Art und Weise genkackt worden wie der IE auch?
Ja ist nur wieder Futter für alle mit Tunnelblick.
Der Firefox hat genauso Lücken.
Braucht man sich nur mal die Bugfix listen in den Mozilla Groups anschauen.
Dass die Lücken zuvor nicht im großen Stil miss braucht wurden ist nur Glück und nicht Sicherheit.

Mal abgesehen davon ist der Firefox elend langsam.
Ich meine nicht den Seitenaufbau, sondern wie er sich innerhalb von nur wenigen Stunde Aufbläht.
Arbeitsbedingt nutze ich FF, Crome und IE9 parallel (sogar IE7 und IE8 auf XP in VBOX).
Opera hatte ich früher auch privat zur aktuellen Version kann ich aber leider nichts sagen^^
 
Zurück