# Internet Explorer, Firefox und Chrome beim Pwn2Own Contest geknackt



## Freakless08 (9. März 2012)

Auf dem Hacker-Wettbewerb Pwn2Own wurde der aktuelle Internet Explorer auf einem komplett gepatchten Windows 7 System geknackt. Hierzu hat das Team Vupen zwei 0-day Lücken ausgenutzt welche den DEP (Datenausführungsverhinderung von Windows) überlistet sowie die Sandbox (der Protected Mode) des Internet Explorer umgeht.
Somit hat der Angreifer kompletten zugriff auf das System und es lassen sich Daten als Admin nachinstallieren.

Das Opfer muss laut den Hackern nur eine präparierte Internetseite aufrufen, welcher die beiden 0-day Lücke im Hintergrund einschleusen kann und somit seine "arbeit" erledigt.

Pwn2Own-Teilnehmer knacken auch Internet Explorer | heise Security

Update :
Wie heute bekannt wurde, wurde der Firefox 10.0.2 auch mit einer 0-day Lücke von  Vincenzo Iozzo und Willem Pinckaers geknackt.
Die Preisgeldausschüttung sieht wie folgt aus:

1. Platz | Vupen | Knacken vom Internet Explorer und Chrome | 60.000 $ Preisgeld
2. Platz |  Vincenzo Iozzo und Willem Pinckaers | Knacken von Firefox | 30.000 $ Preisgeld

Pwn2Own: Auch Firefox geknackt | heise Security


----------



## Gast20140625 (9. März 2012)

*AW: Internet Explorer beim Pwn2Own Contest geknackt*

Chrome wurde auch geknackt.


----------



## Do Berek (9. März 2012)

*AW: Internet Explorer beim Pwn2Own Contest geknackt*

Zitat Nelson:"HaHa!"   Hab FF!


----------



## Incredible Alk (9. März 2012)

*AW: Internet Explorer beim Pwn2Own Contest geknackt*



Do Berek schrieb:


> Zitat Nelson:"HaHa!"   Hab FF!


 
Ich schätze mal dass es auch da nur eine Frage der Zeit ist (wenn nicht schon geschehen) dass auch der geknackt wird.
Aber ich kann nicht leugnen dass ich nicht überrascht bin wenn es jetzt bei Chome und dem IE so schnell ging 

PS: Ich mag Full Metal Jacket auch, Private Schneewittchen!


----------



## Jan565 (9. März 2012)

*AW: Internet Explorer beim Pwn2Own Contest geknackt*

Wenn es danach geht was man Hacken, Cracken oder sonst was kann, dann darf man seinen Rechner nicht mehr an das Internet lassen. 

Man kann ALLES zu 100% knacken. Es gibt kein Programm man nicht ausheben kann über eine Möglichkeit. 

Außerdem verstehe ich nicht was daran so besonders ist den IE aus zu hebeln? Alle Produkte von M$ waren bisher binnen weniger Stunden geknackt worden.


----------



## Incredible Alk (9. März 2012)

*AW: Internet Explorer beim Pwn2Own Contest geknackt*



Jan565 schrieb:


> Man kann ALLES zu 100% knacken.


 
Dann knacke doch mal Verschlüsselungsfunktionen wie Twofish oder Serpent... wenn du das schaffst garantiere ich dir dass du nie wieder in deinem Leben Geldsorgen haben wirst 

Wiki sagt dazu beispielsweise (Twofish Algorithmus): 
"Die bisher beste veröffentlichte Angriffsmöglichkeit in Form einer _Distinguishing Attack_ ist nach Moriai & Yin die _beschränkte differentielle Analyse_. Das Dokument beschreibt, dass die Wahrscheinlichkeit für beschränkte Differentiale 2-57.3 pro Block beträgt und dass man annähernd 251 gewählte Klartexte (etwa 32 PiB  Daten) benötigt, um ein brauchbares Paar von beschränkten  Differentialen zu finden und dadurch das Chiffrat von einer  Zufallszahlenfolge unterscheiden zu können.[1]
 Bruce Schneier antwortete 2005 in einem Blog-Beitrag, dass das  Dokument keine vollständige Kryptoanalyse präsentiert, sondern nur  einige charakteristische Hypothesen der differentiellen Analyse. Dies  würde aus praktischer Sicht bedeuten, dass Twofish nicht im  Entferntesten gebrochen werden konnte"


----------



## Jan565 (9. März 2012)

*AW: Internet Explorer beim Pwn2Own Contest geknackt*



Incredible Alk schrieb:


> Dann knacke doch mal Verschlüsselungsfunktionen wie Twofish oder Serpent... wenn du das schaffst garantiere ich dir dass du nie wieder in deinem Leben Geldsorgen haben wirst
> 
> Wiki sagt dazu beispielsweise (Twofish Algorithmus):
> "Die bisher beste veröffentlichte Angriffsmöglichkeit in Form einer _Distinguishing Attack_ ist nach Moriai & Yin die _beschränkte differentielle Analyse_. Das Dokument beschreibt, dass die Wahrscheinlichkeit für beschränkte Differentiale 2-57.3 pro Block beträgt und dass man annähernd 251 gewählte Klartexte (etwa 32 PiB  Daten) benötigt, um ein brauchbares Paar von beschränkten  Differentialen zu finden und dadurch das Chiffrat von einer  Zufallszahlenfolge unterscheiden zu können.[1]
> Bruce Schneier antwortete 2005 in einem Blog-Beitrag, dass das  Dokument keine vollständige Kryptoanalyse präsentiert, sondern nur  einige charakteristische Hypothesen der differentiellen Analyse. Dies  würde aus praktischer Sicht bedeuten, dass Twofish nicht im  Entferntesten gebrochen werden konnte"


 
Gut, es gibt schon sehr sichere dinge. Aber selbst das ist nicht zu 100% sicher. Meine Aussage war so gemeint, dass man mit genug Zeit und Rechenkapazität alles aushebeln kann. Allerdings wird es bei so einem Algorithmus länger als ein Leben daunern, was dann das ganze Problem an der Sache ist.


----------



## kühlprofi (9. März 2012)

*AW: Internet Explorer beim Pwn2Own Contest geknackt*



Incredible Alk schrieb:


> Dann knacke doch mal Verschlüsselungsfunktionen wie Twofish oder Serpent... wenn du das schaffst garantiere ich dir dass du nie wieder in deinem Leben Geldsorgen haben wirst
> 
> Wiki sagt dazu beispielsweise (Twofish Algorithmus):
> "Die bisher beste veröffentlichte Angriffsmöglichkeit in Form einer _Distinguishing Attack_ ist nach Moriai & Yin die _beschränkte differentielle Analyse_. Das Dokument beschreibt, dass die Wahrscheinlichkeit für beschränkte Differentiale 2-57.3 pro Block beträgt und dass man annähernd 251 gewählte Klartexte (etwa 32 PiB Daten) benötigt, um ein brauchbares Paar von beschränkten Differentialen zu finden und dadurch das Chiffrat von einer Zufallszahlenfolge unterscheiden zu können.[1]
> Bruce Schneier antwortete 2005 in einem Blog-Beitrag, dass das Dokument keine vollständige Kryptoanalyse präsentiert, sondern nur einige charakteristische Hypothesen der differentiellen Analyse. Dies würde aus praktischer Sicht bedeuten, dass Twofish nicht im Entferntesten gebrochen werden konnte"


 
Ja klar, das ist aber auch ein Unterschied ob man ein verschlüsseltes File oder einen algorithmus knackt oder das Ziel ein Programm an sich selber ist.
Ich denke mal da ist der wesentliche Unterschied. 

Zum Thema Browser. So schlecht ist der IE nicht. Daher ist es auch nicht verwunderlich, dass er in Unternehmen weiterhin der Standart nr. 1 bleibt.
Noch im August 2011 galt der IE 9 als Sicherster Browser neben Chrome, Firefox usw. 
Ich verstehe die Leute nicht die immer auf der Schiene "IE" ist unsicher und alles andere ist sicher fahren - da kann man sich Mal ganz schön verrennen 
Zumal man auch bedenken muss, dass Microsoft bestimmt nicht die dümmsten Entwickler hat, genug Geld für Sicherheitsforscher und Analysten hat und nicht zuletzt für das eigen Entwickelte Betriebssystem wohl am meisten Basiswissen mitbringt. 

Soweit ich gelesen habe - ist der Chrome auf die selbe Art und Weise genkackt worden wie der IE auch? 
Jan565 ich stimme dir zu, zumindest wenn es sich um Betriebssysteme und Programme handelt. 

Was verschlüsselung angeht ist wohl eine Sache für sich. In den USA ist die 1024 Bit verschlüsselung sogar verboten - warum nur? Weil Behörden keine Einsicht kriegen könnten?  Aber auch die ist nicht unknackbar - nur leben wir irdischen Wesen zu wenig lange um das gecrackte Ergebnis zu bestaunen oder verfügen nicht über genug Rechenleistung das inner nützlicher Frist zu erledigen ^^ Und was mich bei deinem Beispiel wundert ist, wieso man etwas so verschlüsselt dass es nicht mehr entschlüsselbar ist - dann ist es ja auch für den Besitzer quasi "unbrauchbar".


----------



## streetjumper16 (9. März 2012)

*AW: Internet Explorer beim Pwn2Own Contest geknackt*

Ich hab Nightly von daher 
Aber schon krass das man immer noch nicht sicher genug im Netz surfen kann...


----------



## turbosnake (9. März 2012)

*AW: Internet Explorer beim Pwn2Own Contest geknackt*

Intressant, also leben falls sie teilnehmen Opera, FF und Safari noch. Bleiben wird mal bei den bekannte Browsern gibt ja noch mehr als diese.
Ich beleib unter Win beum Opera, der Rest taugt imho nicht viel. Habe alles ausprobiert und auch alle außerden Safari atm installiert.


----------



## Incredible Alk (9. März 2012)

*AW: Internet Explorer beim Pwn2Own Contest geknackt*



kühlprofi schrieb:


> Und was mich bei deinem Beispiel wundert ist, wieso man etwas so verschlüsselt dass es nicht mehr entschlüsselbar ist - dann ist es ja auch für den Besitzer quasi "unbrauchbar".


 Der Besitzer hat im Normalfall noch sein Passwort zu den Daten - damit ist die Entschlüsselung kinderleicht 
Wenn man aber das PW vergessen haben sollte bei einem TrueCrypt File wars das, stimmt.


----------



## evosociety (9. März 2012)

*AW: Internet Explorer beim Pwn2Own Contest geknackt*

Uih 2 von bestimmt 50 Zero Days wurden bekannt gemacht. 

Btw. heißt das alles andere als das der IE weniger sich als der FF, Chrome, Opera oder Safari ist. Wenn ein Team die 5 knackt und die Zeit dafür stoppt. Kann man sich die Reihenfolge aussuchen in der die Browser fallen. Wenn 10 Teams das machen und dabei die Zeit stoppen, wird jeder Browser mal zuerst geknackt sein.

Außerdem gibt es einen 0Day der seit 3.0 im FF vorhanden ist und immer noch nicht gefixxt wurde, wahrscheinlich gibt es mehr, aber diesen einen kann ich bestätigen.


----------



## ΔΣΛ (9. März 2012)

*AW: Internet Explorer beim Pwn2Own Contest geknackt*



kühlprofi schrieb:


> Daher ist es auch nicht verwunderlich, dass er in Unternehmen weiterhin der Standart nr. 1 bleibt.


 Das ist er auch nur weil er vorinstalliert ist


----------



## Juzamdjinn (9. März 2012)

*AW: Internet Explorer beim Pwn2Own Contest geknackt*

warum überrascht mich die nachricht nicht? ^^


----------



## KOF328 (9. März 2012)

*AW: Internet Explorer beim Pwn2Own Contest geknackt*

Guess the Browser!


----------



## Xtreme RS (9. März 2012)

*AW: Internet Explorer beim Pwn2Own Contest geknackt*

Naja, mag zwar sein, dass man jedes Programm knacken kann...aber brain.exe und entsprechende Sicherheitssoftware können da doch schon helfen...

und was bringt mir auch die sicherste Verschlüsslung, wenn das Passwort "Passwort" lautet. 

 *123456789 ist da wesentlich besser, da kommt bestimmt niemand drauf.*


----------



## EnergyCross (9. März 2012)

*AW: Internet Explorer beim Pwn2Own Contest geknackt*



Xtreme RS schrieb:


> und was bringt mir auch die sicherste Verschlüsslung, wenn das Passwort "Passwort" lautet.
> 
> *123456789 ist da wesentlich besser, da kommt bestimmt niemand drauf.*


 

da fällt mir ein lustiges *.gif ein 

http://erpics.de/data/media/10/passwort.gif


----------



## painbot (10. März 2012)

*AW: Internet Explorer beim Pwn2Own Contest geknackt*



Incredible Alk schrieb:


> Dann knacke doch mal Verschlüsselungsfunktionen wie Twofish oder Serpent... wenn du das schaffst garantiere ich dir dass du nie wieder in deinem Leben Geldsorgen haben wirst
> 
> Wiki sagt dazu beispielsweise (Twofish Algorithmus):
> "Die bisher beste veröffentlichte Angriffsmöglichkeit in Form einer _Distinguishing Attack_ ist nach Moriai & Yin die _beschränkte differentielle Analyse_. Das Dokument beschreibt, dass die Wahrscheinlichkeit für beschränkte Differentiale 2-57.3 pro Block beträgt und dass man annähernd 251 gewählte Klartexte (etwa 32 PiB  Daten) benötigt, um ein brauchbares Paar von beschränkten  Differentialen zu finden und dadurch das Chiffrat von einer  Zufallszahlenfolge unterscheiden zu können.[1]
> Bruce Schneier antwortete 2005 in einem Blog-Beitrag, dass das  Dokument keine vollständige Kryptoanalyse präsentiert, sondern nur  einige charakteristische Hypothesen der differentiellen Analyse. Dies  würde aus praktischer Sicht bedeuten, dass Twofish nicht im  Entferntesten gebrochen werden konnte"


 
Eine Verschlüsselung alleine ist kein Garant dafür dass ein System nicht gehackt werden kann.
Ohne Passwort (bzw. ohne genügend Rechenleistung/Zeit) kann ich in den Fällen warscheinlich nie etwas mit den verschlüsselten Daten anfangen.
Aber es gibt immer Wege die Verschlüsselung selbst zu umgehen sodass mir der sicherste Verschlüsselungsalgorithmus nix mehr nützt 
Aus dem Grund gibt es auch keine "unknackbaren" Systeme .. alles, was sich der Mensch ausdenkt, kann er selbst auch wieder umgehen.


----------



## evosociety (10. März 2012)

*AW: Internet Explorer beim Pwn2Own Contest geknackt*



painbot schrieb:


> Eine Verschlüsselung alleine ist kein Garant dafür dass ein System nicht gehackt werden kann.
> Ohne Passwort (bzw. ohne genügend Rechenleistung/Zeit) kann ich in den Fällen warscheinlich nie etwas mit den verschlüsselten Daten anfangen.
> Aber es gibt immer Wege die Verschlüsselung selbst zu umgehen sodass mir der sicherste Verschlüsselungsalgorithmus nix mehr nützt
> Aus dem Grund gibt es auch keine "unknackbaren" Systeme .. alles, was sich der Mensch ausdenkt, kann er selbst auch wieder umgehen.


 
Nein, aber verbreite weiter Halbwissen.


----------



## MESeidel (10. März 2012)

*AW: Internet Explorer beim Pwn2Own Contest geknackt*



kühlprofi schrieb:


> Zum Thema Browser. So schlecht ist der IE nicht. Daher ist es auch nicht verwunderlich, dass er in Unternehmen weiterhin der Standart nr. 1 bleibt.
> Noch im August 2011 galt der IE 9 als Sicherster Browser neben Chrome, Firefox usw.
> Ich verstehe die Leute nicht die immer auf der Schiene "IE" ist unsicher und alles andere ist sicher fahren - da kann man sich Mal ganz schön verrennen
> Zumal man auch bedenken muss, dass Microsoft bestimmt nicht die dümmsten Entwickler hat, genug Geld für Sicherheitsforscher und Analysten hat und nicht zuletzt für das eigen Entwickelte Betriebssystem wohl am meisten Basiswissen mitbringt.
> ...


Ja ist nur wieder Futter für alle mit Tunnelblick.
Der Firefox hat genauso Lücken.
Braucht man sich nur mal die Bugfix listen in den Mozilla Groups anschauen.
Dass die Lücken zuvor nicht im großen Stil miss braucht wurden ist nur Glück und nicht Sicherheit.

Mal abgesehen davon ist der Firefox elend langsam.
Ich meine nicht den Seitenaufbau, sondern wie er sich innerhalb von nur wenigen Stunde Aufbläht.
Arbeitsbedingt nutze ich FF, Crome und IE9 parallel (sogar IE7 und IE8 auf XP in VBOX).
Opera hatte ich früher auch privat zur aktuellen Version kann ich aber leider nichts sagen^^


----------



## fire2002de (11. März 2012)

*AW: Internet Explorer beim Pwn2Own Contest geknackt*



Xtreme RS schrieb:


> Naja, mag zwar sein, dass man jedes Programm knacken kann...aber brain.exe und entsprechende Sicherheitssoftware können da doch schon helfen...
> 
> und was bringt mir auch die sicherste Verschlüsslung, wenn das Passwort "Passwort" lautet.
> 
> *123456789 ist da wesentlich besser, da kommt bestimmt niemand drauf.*



ist das am meisten benutzte pw im netz  
noch vor Passwort


----------



## cubbi223 (11. März 2012)

*AW: Internet Explorer beim Pwn2Own Contest geknackt*

Im endefekt ist es doch Jacke wie Hose welchen Bowser man benutzt.

In ihrer Grundinstalation sind alle Sicher und sollte ne Lücke auftauchen wird sie Gepatcht irgendwann. aber die meisten erweitern ihre Browser mit Plug In's und ich denke mal das von dehnen die größere Gefahr ausgeht


----------



## kühlprofi (11. März 2012)

*AW: Internet Explorer beim Pwn2Own Contest geknackt*



cubbi223 schrieb:


> Im endefekt ist es doch Jacke wie Hose welchen Bowser man benutzt.
> 
> In ihrer Grundinstalation sind alle Sicher und sollte ne Lücke auftauchen wird sie Gepatcht irgendwann. aber die meisten erweitern ihre Browser mit Plug In's und ich denke mal das von dehnen die größere Gefahr ausgeht


 
Natürlich können schlecht programmierte Addons nochmals eine Lücke mehr öffnen. Doch selbst die Grundinstallationen von Browsern ohne Plugins sind nicht sicher. Cracks werden immer wieder Programmfehler finden oder Programmfehler provozieren um sich irgendwo ne Lücke zu verschaffen um Code einschleusen/ausführen zu können. 

@ Triceratops



> Das ist er auch nur weil er vorinstalliert ist


Zum einen vielleicht zum  Anderen arbeiten grössere Firmen gerne mit Microsoft zusammen. Ausserdem sind die Windowsupdates kontrollierbar ebenfalls für den IE. Firefoxupdates für alle Client übersichtlich zu verwalten ist eher weniger gängig (Auch wenns machbar wäre). 
Ausserdem gilt der IE einfach als Standart, das war schon immer so und wird auch so bleiben - sowie bei Applesystemen Safari standart ist und bleibt.


----------



## TempestX1 (12. März 2012)

*AW: Internet Explorer beim Pwn2Own Contest geknackt*



kühlprofi schrieb:


> Ausserdem gilt der IE einfach als *Standart*, das war schon immer so und wird auch so bleiben - sowie bei Applesystemen Safari *standart* ist und bleibt.


Na Hauptsache er gilt nicht als Standard. Wie steht er denn so?


----------



## kühlprofi (12. März 2012)

*AW: Internet Explorer beim Pwn2Own Contest geknackt*



TempestX1 schrieb:


> Na Hauptsache er gilt nicht als Standard. Wie steht er denn so?


 
 Prima! standart wird bald eh zum standard ^^


----------



## MonGoLo (14. März 2012)

Freakless08 schrieb:


> 1. Platz | Vupen | Knacken vom Internet Explorer und Chrome | 60.000 $ Preisgeld
> *2. Platz* |  Vincenzo Iozzo und Willem Pinckaers | *Knacken von Firefox* | 30.000 $ Preisgeld



komisch, wars nich eher schwerer den FF zu knacken? müssten die dann nich das doppelte preisgeld (wat ne summe ey ^^') einsacken? 
oder s liegt dran dass der erste eben zwei browser zerbröckelt hat... ka. un die aufm 2ten platz müssen sich dat a noch teilen. der erste hatte bestimmt beziehungen


----------



## Henry1694 (18. März 2012)

Mozilla Firefox (war mal gut) der frisst bei mir immer mehr Ram und hängt sich immer mehr auf ! ich weiß noch die Firefox 8.0 zeiten zB


----------



## MESeidel (18. März 2012)

Die Firefox 8 Zeiten? o_0
Ich hab mit Netscape 6 angefangen, aus den Kindertagen von Mozilla.


----------



## Henry1694 (18. März 2012)

Jap Firefox 8.0 lief hervorragend im gegensatz zu jetzt !


----------

