Web & AppsVerfasst von unter Chrome am 21. März 2012
Der durch die genutzte Sandbox-Technik als besonders sicher bekannte Internet-Browser Google Chrome wurde auf der Sicherheitskonferenz CanSecWest zum ersten Mal bei dem sogenannten Pwn2Own-Wettbewerb geknackt. Bei diesem Wettbewerb vollbrachten es gleich zwei Wettbewerbsteilnehmer, die von Google Chrome genutzte Sandbox-Technik zu umgehen, bei der der Programmcode des Browsers in einem separaten und geschützten Bereich ausgeführt wird, um das Betriebssystem zu schützen. Als erstes gelang es dem russischen Sicherheitsforscher Sergey Glazunov die Sicherheitsfunktionen des Internet-Browsers zu umgehen, indem er einen sogenannten Zero-Day-Exploit verwendete und sich mit seinem schnellen Erfolg den als "Pwnium" betitelten Höchstpreis von 60.000 US-Dollar aus dem eine Million schweren Gesamttopf sicherte.
Nur wenige Zeit später gelang es dem ebenfalls am Wettbewerb teilnehmenden Team der französischen Sicherheitsfirma Vupen, welche bekannt für das Finden von Schwachstellen ist und bereits einige Tage zuvor via Twitter bekannt gab, mittels Zero-Day-Exploits in das Rennen einzusteigen, den Browser mit Hilfe einer bislang unbekannten Schwachstelle zu kompromittieren. Somit stand das Team am Mittwoch bisher ohne Konkurrenz da. Allerdings ist es nicht unwahrscheinlich, dass sich dem Wettbewerb aufgrund einer Regeländerung, durch die man sich an dem Wettbewerb nicht mehr vorab anmelden muss, noch weitere erfolgreiche Teams anschließen.
Die Firma Vupen nimmt bereits seit einigen Jahren an dem 2007 gegründeten, sogenannten Pwn2Own-Wettbewerb teil, der dieses Jahr zum ersten Mal in mehreren Stufen ausgetragen wird. In den vorherigen Wettbewerben wurde man somit schon als Sieger gefeiert, sobald man eine einzige vorgegebene Aufgabe als Erster erfolgreich lösen konnte. Dieses Jahr jedoch folgen noch weitere, in der Schwierigkeitsstufe stark ansteigende Aufgaben, die die Programmierer möglichst schnell erfüllen müssen, ehe sich ein Team als Gesamtsieger herauskristallisiert.
Doch statt sich über die Sicherheitslücke des Browsers zu ärgern, kündigte Google ein Sicherheitsupdate an, welches der User über die automatische Update-Funktion des Browsers einspielen kann, und stellte dieses bereits 24 Stunden nach der Kompromittierung des Browsers der Öffentlichkeit zur Verfügung.
