Hacker sahnt 60.000 Dollar für Chrome-Hack ab

  • Artikelbild
    grafik: ponies

Google reagiert innerhalb weniger Stunden mit Update - "Pinky Pie" gelingt schon zum zweiten Mal vollständiger Hack

Google lobt schon seit einigen Jahren diverse Belohnungen für das Aufspüren von Sicherheitslücken im Chrome-Browser aus, ein Konzept das sich bislang als äußerst erfolgreich erwiesen hat, konnte man mithilfe der Community doch bereits zahlreiche Fehler aufspüren und ausbessern. Mit Pwnium hat man dann im Frühjahr das erste Mal einen eigenen Hack-Wettbewerb ausgeschrieben, nun gab es dessen Nachfolge - und wieder konnte der Chrome geknackt werden.

Wiederholung

Wie schon im Frühjahr gelang es einem unter dem Pseudonym "Pinky Pie" agierenden Hacker die Sicherheitsmechanismen von Chrome auszutricksen und so von außen Zugriff auf das lokale System zu erhalten. Im Vergleich zum ersten Hack - bei dem sechs Bugs in Serie genutzt wurden - war der Angriffsweg beinahe schon simpel: Zunächst wurde ein Fehler der Rendering Engine Webkit in der Verarbeitung von SVG-Bildern ausgenutzt, um aus dem Render-Prozess auszubrechen. Danach war aber noch ein zweiter Exploit notwendig, um die Sandbox von Chrome überwinden zu können, hierzu bediente man sich eines Bugs in der Interprozesskommunikation des Browsers.

Preisgeld

Da sich der Hacker für seinen Angriff nur Lücken in Chrome selbst bediente, konnte er auch das maximale Preisgeld für sich sichern - 60.000 US-Dollar wechseln damit den Besitzer. Insgesamt hatte Google 1.000.000 US-Dollar Preisgeld für Pwnium 2 bereitgestellt. Den Großteil dieses Preisgeldes kann das Unternehmen aber nun wieder mit nach Hause nehmen, bis auf "Pinky Pie" konnte niemand einen erfolgreichen Hack durchführen.

Reaktion

Mindestens so beeindruckend wie der Hack selbst ist allerdings auch die Reaktionszeit von Google: Innerhalb von gerade einmal 10 Stunden hat das Unternehmen beide Sicherheitslücken geschlossen und ein neues Updates für die stabile Version des Browsers ausgeliefert. (apo, derStandard.at, 12.10.12)

Share if you care