Vor kurzem berichteten wir noch über die starke Sicherheit von Microsoft Edge. Nun wurde der Browser aber im Rahmen von „PWNFEST“, einer Cybersicherheits-Veranstaltung in Seoul, in nur 18 Sekunden gehackt. Edge lief auf Windows 10 x64 Redstone 1.
Insgesamt gelang der Hack zwei verschiedenen Teilnehmern: Qihoo 360, einer Sicherheitsfirma und JungHoon Lee, einem Sicherheitsforscher. Letzteres gelang der 18 Sekunden Turbo-Hack. Beide erhalten nun $120.000 mit Aussicht auf weitere Boni.
Selbst mit den Sicherheitspatches des letzten Dienstags, konnte der Edge-Hack in 30 Stunden von der Firma Qihoo reproduziert werden.
Microsoft erhält bald sämtliche Details zu den ausgenutzten Sicherheitslücken und wird sie schließen.
Hättet ihr gedacht, dass Edge nach 18 Sekunden einknickt? Interessant wäre auch hier der Vergleich mit Chrome und Firefox.
Bildquelle: Microsoft
Qihoo 360 sollte da mal lieber vor der eigenen Haustür kehren. Immerhin sind sie der Mutterkonzern von WoSign und Startcom, die als CAs mit illegal zurückdatierten Zertifikaten aufgefallen sind. Davon abgesehen war das auch nicht das erste Mal, dass die negativ aufgefallen sind. Dass die dann noch als Sicherheitsfirma auftreten, ist schon irgendwo dreist.
Davon abgesehen überrascht das nicht. Auch ne überlegene Sicherheit bedeutet ja nicht, dass Edge unempfindlich gegen Zero Days ist.
Wow
Ne hätte ich nicht gedacht 🙁
Google und Mozilla werden ebenso anfällig sein, jede software hat Iwo unentdeckte schwachstellen
Software hat mittlerweile eine Komplexität erreicht, die es unmöglich macht, trotz ausgefeilter Architekturen, trotz Modularisierung, trotz Testautomatisierung, trotz stringendem Changemanagement, alles zu überblicken.
18 Sekunden für den gesamten Ablauf, also Suche nach Schwachstellen usw., oder 18 Sekunden um das Ergebnis zu präsentieren? Ersteres hört sich zu stark nach „die kannten die Schwachstelle bereits im Voraus an“, oder wie soll das sonst gehen? 18 Sekunden ist extrem wenig und da muss man nach Browserstart ja schon ganz exakt wissen was man anklickt und nach wenigen Klicks ist die Zeit auch schon vorbei. Wenn die 18 Sekunden nur „Präsentationszeit“ sind, ist diese Nachricht sinnfrei, denn dann wurde Edge nicht nach 18 Sekunden gehackt, sondern faktisch nach der Zeit, die sie im Vorfeld nach Schwachstellen usw.… Weiterlesen »
18 Sekunden Zeit zum hacken. Das hat doch mit „Browser öffnen“ und mit „anklicken“ gar nichts zu tun oder denkst du das wäre wie das Geheimlevel bei Mario 64 zu finden, eine Tastenkombination hier, was anklicken da? Der Hackversuch heisst, dass man die Verbindung zwischen Browser und Website hijackt um etwa Passwörter auszulesen…
Du redest irgendwie wirres Zeug. Wie soll man etwas „hijacken“, wenn man „klicken und drücken“ nicht zu dieser Zeit dazurechnen darf?
Die gleiche frage stelle ich mir auch.
Für mich stellt sich auch die Frage: Womit gehackt, von welcher Plattform etc. Wenn die Flash aktiviert hatten kein Wunder… 😀
Ich denke auch, dass die schon vorher Schwachstellen gewusst haben müssen, sonst wäre das gar nicht gegangen. Mehrere Minuten hätten mir ja noch eingeleuchtet, aber nicht 18 Sekunden! Ob die die Hacks öffentlich vollzogen haben? Also, dass jeder sehen konnte, was die klickten und eingaben? Wenn ja, ist das noch schlimmer als die 10 Tage von Google!
Gegenfrage: Wie haben sich die Haus-Browser von Gockel und Birne verhalten? 😉
Na ja 18 sekunden sind sehr schnell. Allerdings ist das nur möglich mit viel Vorarbeit die natürlich Nicht erwähnt wird. Aber alles digitale ist hackbar..
Ich finde es vor allem klasse, dass es derartige Veranstaltungen gibt und es sich Entwickler trauen, ihre Produkte so zu „testen“. Die Gefahr ist dabei doch wohl, dass diese Nachricht falsch kommuniziert wird. Denn der Gedanke dahinter erschliesst sich bei einer solchen Überschrift leider nicht @Schlagzeile
Nennt mich paranoid oder Aluhutträger, aber mein erster PC war ein C64, dann Amiga 500, habe die Anfänge des Internet erlebt, bin sehr auf Sicherheit bedacht und informiere mich schon immer viel und kümmere mich um diverse PCs.
Ich behaupte das viele der sogenannten Sicherheitslücken ganz einfach Backdoors sind für NSA und Co, da könnt ihr Sagen was ihr wollt
Die Vermutung ist vielleicht nicht ganz abwägig. Zuzutrauen ist denen zumindest alles ?
So sieht es nämlich aus
Ihr müsst schon eine sehr schlechte Meinung von Euch haben, wenn Ihr denen das zutraut, den Mitarbeitern bzw. der Firma so schlechte Reviewprozesse zu haben. Egal wie, das würde aber ebenso für Apple und Google und noch viel mehr für Linux gelten…!
Und eine solche Einstellung macht einen dann doch extrem handlungsunfähig. Wie will man denn dann noch überhaupt ins Internet gehen, wenn es überall Backdoors hat?
Das Argument dann, dass man ja eh nichts zu verbergen habe, führt dann aber die Ausgangsangst ad absurdum. Sei’s drum.
Ja Logo. Wenn dann mein ich auch alle anderen. Vertrauen kann man überhaupt nichts das vom übern großen Teich kommt. Und nichts zu verbergen hat niemand. Aber sobald ich moderne Technik nutze, darf ich mir über Datenschutz keine Gedanken mehr machen. Denn sonst müßte ich wirklich einen Aluhut tragen und alles technische aus dem Haus verbannen. Von daher.. Shit Happens✌
Das Problem ist aber auch, dass Benutzer ihre Daten fleißig im Netz verteilen ohne Sinn und Verstand und sich anschließend wundern, dass diese von Google, Amazon, Microsoft, oder sonst wem ausgewertet werden.
Klar löst es das Problem nicht und macht es auch nicht weniger tragisch, aber ein besseres Benutzerverhalten würde viel ändern, oder pinnt jemand von euch seine Kreditkartenabrechnung an den Briefkasten?
So entdeckte Lücken sind gut und wichtig, weil sie geschlossen werden können bevor großer Schaden entsteht! Prinzipiell ist es unmöglich eine Plattform, eine Software, oder eine Arbeitsumgebung unangreifbar zu machen. Vielmehr ist es Ziel das Zeitfenster, bis alle Hürden genommen wurden, so weit auszudehnen, dass kein Hacker Lust darauf hat, oder bevor der Schaden eintritt entdeckt werden kann. Gerade die Belohnungen sind ein wichtiger Teil der Produktqualitätssicherung. Bei Betriebssystemen mit Unix-Kern treten deutlich weniger und weniger schwerwiegende Sicherheitslücken auf. Man darf aber auch nicht vergessen, dass diese viel weniger angegriffen werden und Microsoft immer schon Anwendungen auf den Markt gebracht… Weiterlesen »