Ausbruch aus dem Chrome-Sandkasten

Google belohnt gefundene Sicherheitslücke mit 60.000 US-Dollar

Auf der in Kuala Lumpur stattgefundenen „Hack in the Box 2012“ forderte Google zum zweiten Mal in diesem Jahr Hacker dazu auf nach Sicherheitslücken im Chrome-Browser zu suchen. Dabei gelang es einem Hacker einen sogenannten „Full Chrome Exploit“ auszunutzen. Der Gewinner kann sich über ein Preisgeld sowie ein Chromebook freuen.

Mit Anlehnung an das Wort „Chromium“ veranstaltete Google ein weiteres Mal seinen Hacking-Wettbewerb „Pwnium“, bei dem erfolgreiche Hacker für ihre Hilfe belohnt werden. Google unterteilt dabei seine Belohnungen in unterschiedliche Exploit-Stufen. Vergütet werden unvollständige, nicht direkt sowie teilweise zu Chrome gehörende, und eben wie in diesem Fall, ausschließlich auf Bugs in Chrome setzende Exploits. Um aus der Sandbox des Browsers auszubrechen, wurden von dem Hacker „Pinkie Pie“ zwei Sicherheitslücken ausgenutzt. Über eine Lücke in WebKit bei skalierbaren Vektorgrafiken konnte der Rendering-Prozess kompromittiert werden um dann über einen weiteren Bug im sogenannten „IPC Layer“ aus der Sandbox zu gelangen. Dies führte dazu, dass dann theoretisch weiterer Code auf dem System ausführbar wäre.

Für das Erreichen der höchsten Exploit-Stufe kann sich der Hacker nun über ein saftiges Preisgeld in Höhe von 60.000 US-Dollar und ein Google Chromebook freuen. Bereits zehn Stunden nach Veröffentlichung der Sicherheitslücke reagierte Google mit der Bereitstellung von einer neuen Chrome-Version. Google möchte damit seine schnelle Reaktion auf Sicherheitslücken unterstreichen. Nachdem eine fehlerbereinigte Version von Chrome auch anderen Plattformen außer Windows zu Verfügung steht, möchte Google eine tiefgehende Analyse zu den benutzten Exploits veröffentlichen. Im Normalfall sollten Chrome-Nutzer unter Windows das Update bereits automatisch bekommen haben, ansonsten ist die Aktualisierung manuell durchzuführen.