Pwn2Own: Google Chrome zum dritten Mal nicht geknackt

Einen Tag vor dem diesjährigen Pwn2Own-Wettbewerb hat Google am Dienstag die 10. Version von Google Chrome veröffentlicht. Auch Apple legte noch ein Update für den Safari vor. Doch auch dieses Update nützte nichts. Safari wurde als erster geknackt.

Die Sicherheitsfeatures des Internet Explorers wurden ebenfalls überwunden, auch wenn hierfür gleich drei Lücken ausgenutzt wurden. Lediglich Google Chromes Sicherheitsmechanismen konnten nicht überwunden werden. Google hatte zuvor ein recht hohes Preisgeld in Höhe von 20.000$ für denjenigen versprochen, der Google Chrome knackt. Die Hacker, die sich für Google Chrome gemeldet hatte, sind nicht angetreten. Daher wird spekuliert, dass das Update von Google die Lücken geschlossen hatte.

Alle gezeigten Exploits müssen auch auf der aktuellsten Version des Browsers funktionieren. Auch beim Firefox traten die gemeldeten Hacker nicht an. Dieser wurde im Gegensatz zu Google Chrome bei den Wettbewerben 2009 und 2010 geknackt.

Google hat heute noch einmal ein Sicherheitsupdate für Chrome 10 veröffentlicht. Die Version 10.0.648.133 schließt eine Sicherheitslücke.

[$1337] CVE-2011-1290 [75712] High Memory corruption in style handling. Credit to Vincenzo Iozzo, Ralf Philipp Weinmann and Willem Pinckaers reported through ZDI.

Das Update erhalten alle Nutzer, die auf dem Stable bzw. Beta-Channel sind.



Teile diesen Artikel:

Facebook twitter Pocket Pocket

comment 5 Kommentare zum Thema "Pwn2Own: Google Chrome zum dritten Mal nicht geknackt"

  • Eins intressiert mich mal, wie gelangen diese Sicherheits fix auf den Dev Channel? Bis jetzt habe ich nur einmal so einen fix gesehn (schon etwas länger her, und ich beobachte das seit version 4 oder so)

    • Die Entwicklerversionen werden bei keinem Browser mit Sicherheitsupdates versorgt, da sie nicht für den Produktiveinsatz gedacht sind. Sie dürften aber spätestens mit der nächsten Version geschlossen werden. Öffentlich wird sich aber kaum ein Hersteller dazuäußern, dass in der aktuellen Entwicklerversion XX Lücken geschlossen wurden, da diese ja u.U. auch in der stabilen Version vorhanden sind.

  • Warum erwähnt ihr denn nicht das sich nur zwei Leute gemeldet haben, von denen nur einer gekommen ist aber dann nicht teilgenommen hat?

    Es heißt Google hat in der neusten Version, also vor zwei Tagen die Lücke gefunden sodass der vorbereitete Angriff nicht durchgeführt werden konnte.

    Grüße
    Das Wort

Kommentare sind geschlossen.