Pwn2own lässt grüßen: Exploit für Patch-Day-Lücke veröffentlicht

Diskutiere Pwn2own lässt grüßen: Exploit für Patch-Day-Lücke veröffentlicht im IT-News Forum im Bereich News; Ein Sicherheitsforscher hat Details zur Ausnutzung einer Sicherheitslücke in Windows veröffentlicht, die Microsoft beim letzten Patch Day...
  • Pwn2own lässt grüßen: Exploit für Patch-Day-Lücke veröffentlicht Beitrag #1
Eric-Cartman

Eric-Cartman

Threadstarter
Dabei seit
22.06.2005
Beiträge
8.644
Alter
42
d08cad5b508e38b3.jpg


Ein Sicherheitsforscher hat Details zur Ausnutzung einer Sicherheitslücke in Windows veröffentlicht, die Microsoft beim letzten Patch Day beseitigt hat. Der Forscher hatte damit einen Preis beim Pwn2own-Wettbewerb 2010 gewonnen.

Peter Vreugdenhil, ein Sicherheitsforscher aus den Niederlanden, hatte im Frühjahr 2010 beim Hacker-Wettbewerb Pwn2own eine Sicherheitslücke in Windows ausgenutzt, um über den Internet Explorer Code einzuschleusen. Vreugdenhil, der heute für den Pwn2own-Veranstalter TippingPoint arbeitet, hat nun einige Details seines Exploit-Tricks veröffentlicht.

Die Veröffentlichung ist kurz nach Microsofts Patch Day vom 11. Januar erfolgt, bei dem Microsoft diese als kritisch eingestufte Sicherheitslücke endlich geschlossen hat. Die Schwachstelle steckt in den Microsoft Data Access Components (MDAC), in denen der Hersteller am 11. Januar noch eine zweite kritische Lücke beseitigt hat.

Peter Vreugdenhil hatte die Schwachstelle ausgenutzt, um beim Hacker-Wettstreit die Sicherheitsfunktionen ASLR (Address Space Layout Randomization) und DEP (Data Execution Prevention) auszutricksen. So konnte er binnen zwei Minuten in den Rechner eindringen und 10.000 US-Dollar Prämie einstreichen.

Der Fehler steckt in einem ActiveX-Modul für Datenbankzugriffe über den IE. Vreugdenhil hat lediglich eine frühe Version seines Exploit-Code veröffentlicht, die nach seiner Einschätzung nicht sonderlich hilfreich für Angreifer sein sollte. Jedenfalls genüge es nicht diesen Code einfach nur zu starten, um damit erfolgreich zu sein.


 
Thema:

Pwn2own lässt grüßen: Exploit für Patch-Day-Lücke veröffentlicht

Pwn2own lässt grüßen: Exploit für Patch-Day-Lücke veröffentlicht - Ähnliche Themen

AMD kündigt BIOS-Updates an, um die von CTS Labs veröffentlichten Sicherheitslücken in Kombination mit Windows-Patch zu schließen - UPDATE: Mark Papermaster, seinerseits Technik-Chef bei AMD, hat sich in einem Blogbeitrag ausführlich zu den von CTS Labs veröffentlichten...
CPU-Sicherheitslücke: laut Google nicht nur CPUs von Intel, sondern teilweise auch AMD und ARM betroffen - Microsoft bereitet Patch vor - UPDATE: Über die gestern berichtete CPU-Sicherheitslücke sind nun weitere, umfangreichere Informationen aufgetaucht. Neben einer genaueren Aufschlüsselung...
Internetsicherheit 2018 – Neue Bedrohungen aus dem Web: Wer glaubt, gut geschützt vor Schadsoftware oder fremden Zugriffen auf den eigenen Rechner zu sein und seine Informationen und Daten in Sicherheit...
GELÖST Geht das schon wieder los.........: Jetzt ist I OS bzw. Linux auch betroffen :wut VORSICHT SPIONAGESOFTWARE Quelle...
Browser hacken: Pwn2Own will zurück zu seinen Wurzeln: Der alljährliche Hacker-Wettbewerb Pwn2Own soll wieder zu dem werden, was er einmal war, ein Wettstreit um Browser-Lücken. Mobiltelefone als...
Oben