Auf einer Konferenz haben Sicherheitsforscher festgestellt, dass zur Zeit Angriffe auf aktuelle Windows-Browser ausgeübt werden. Dies gilt auch für die Sandbox-Technik von Microsofts Internet Explorer und Googles Chrome.
Die jeweils aktuelle Version der Web-Browser von Microsoft, Mozilla und Google weisen Sicherheitslücken auf, mit denen sich Programmierbefehle auf fremde Rechner einschleusen lassen. Die bis dahin unbekannten Sicherheitslücken, sogenannte Zero-Day-Exploits wurden im Rahmen der jährlichen IT-Sicherheitskonferenz CanSecWest in Vancouver, Kanada, vorgestellt. Mit einem Preisgeld von 60.000 Dollar wird der Pwn2Own-Wettbewerb abgehalten, bei dem Sicherheitsforscher möglichst viele Lücken gleichzeitig nutzen, um die Schutzmechanismen von Browsern und Betriebssystemen auszuhebeln. Dies dient dazu, dass nicht über eine verseuchte Webseite ein eingeschleustes Schadenprogramm auf Funktionen des Betriebssystems zugreifen kann. Trotz der hohen Bemühungen de Hersteller, gelang es den Teilnehmern des Wettbewerbs, die folgenden Browser zu knacken:
Firefox 10.0.2 auf Windows 7 mit Service Pack 1: Eine Sicherheitslücke wurde drei mal genutzt, um den Code über den Browser auszuführen. Gegen den Angriff konnten auch nicht die Windows-Schutztechniken DEP und ALSR helfen.
Internet Explorer 9 auf Windows 7: Die Kombination aus zwei Zero-Day-Exploits war hier fatal. Dank der Hilfe einer präparierten Webseite konnte eine Spionagesoftware auf einem fremden Rechner installiert werden.
Chrome 17 auf Windows 7: Auch hier wurde das System mit Hilfe von zwei Zero-Day-Exploits geknackt, obwohl Googles Browser als besonders sicher gilt.
Nach dieser Bilanz liegt es nun an den Browser-Herstellern ihre Anbieter nachzubessern. Apple ist bisher als einziger mit Safari gut weg gekommen. Doch auch hier hat das Team Vupen angekündigt, dass sie einen Zero-Day-Exploit gefunden haben.
