PC-Expertenforum Hackerkongress Pwn2Own und seine Ergebnisse
Mitglied_5ccaf87
Mitglied
Hackerkongress Pwn2Own und seine Ergebnisse
geschrieben von ehemaliges Mitglied
Anschließend an Digis Worte auf dem anderen Brett möchte ich mal kurz auf die Ergebnisse des Hackerkongresses in den USA eingehen, in welchem es ausschließlich darum ging, auf irgend eine Weise im Browser eine Software zu starten. Unter Windows war Calc.exe. vorgegeben. Das gelang bei jedem Browser meist mit Hilfe von Exploids.
Exploids sind keine Malware, sondern sind der Democode, mit dem der Nachweis der Sicherheitslücke erbracht werden kann. Selbstverständlich können diese Codeschnipsel in geeigneter Form in Malware eingebaut werden. Das zur Erklärung und Bedeutung von Exploids.
Beim Firefox gelang das allerdings nicht und man bediente sich des Tricks mit dem darin eingebauten nsHTMLEditor. Das ist praktisch der Nachfolger des NVU. Diesen findet man unter Menü - Extras - Webentwickler und ist nur wirksam, wenn der Besitzer einer Webseite/Blogs mit dem Firefox darauf zugreift, um sie zu bearbeiten/verändern. Keine Gefahr für den ONU oder die Anwender von Offline-WebEditoren. Zudem muss der Angreifer genau wissen, wann der Webseitenbesitzer seine Webseite bearbeitet. Mozilla versprach noch in dieser Woche die Lücke zu schließen.
Nachlesen kann man das alles bei heise.de: Firefox schliesst Pwn2Own Lücke sowie den sich dort in der Fußnote befindlichen Links zu diesem Kongress.
Exploids sind keine Malware, sondern sind der Democode, mit dem der Nachweis der Sicherheitslücke erbracht werden kann. Selbstverständlich können diese Codeschnipsel in geeigneter Form in Malware eingebaut werden. Das zur Erklärung und Bedeutung von Exploids.
Beim Firefox gelang das allerdings nicht und man bediente sich des Tricks mit dem darin eingebauten nsHTMLEditor. Das ist praktisch der Nachfolger des NVU. Diesen findet man unter Menü - Extras - Webentwickler und ist nur wirksam, wenn der Besitzer einer Webseite/Blogs mit dem Firefox darauf zugreift, um sie zu bearbeiten/verändern. Keine Gefahr für den ONU oder die Anwender von Offline-WebEditoren. Zudem muss der Angreifer genau wissen, wann der Webseitenbesitzer seine Webseite bearbeitet. Mozilla versprach noch in dieser Woche die Lücke zu schließen.
Nachlesen kann man das alles bei heise.de: Firefox schliesst Pwn2Own Lücke sowie den sich dort in der Fußnote befindlichen Links zu diesem Kongress.