Auf der diesjährigen CanSecWest in Vancouver wurden unter dem Namen Pwn2Own wieder Angriffe auf die aktuellen Browser und Mobile-Plattformen gestartet.

Bei den Browsern konnte sich nur Googles Chrome auf Windows behaupten, zumindest wurden auf diesen keine Angriffe gestartet, was dafür spricht dass im Vorfeld keine Sicherheitslücke gefunden werden konnte. Leider konnten bei allen anderen Browsern Lücken aufgedeckt werden.

Microsoft konnte auch DEP (Data Execution Prevention) und ASLR (Address Space Layout Randomization) unter Windows7 mit IE8 nicht helfen.

Leider gibt es keine Auskunft darüber ob Firefox in Version 3.6.2 auch noch auf die gefundenen oDay Lücken anspricht. Nach etlichen Sicherheitswarnungen unter anderem vom BSI wurde dieser erst diese Woche mit einigen fixes aktualisiert.

Bei den Mobile-Plattformen, lies Apples Mobile-Safari das ausführen von Code auf dem iPhone zu und listete fröhlich alle SMS auf. Standhaft waren Blackberry Bold 9700, Nokia E72 mit Symbian OS und das Nexus One mit Android OS. Apple vergab mal wieder ein MacBook Pro an Charlie Miller, dafür überlässt dieser er Apple alle 0day Lücken, es sieht also nach Updates für iPhone OS und OS X aus.

Google gibt Vollgas und einen ersten Einblick in den kommenden Browser Chrome 4. Wenn die so weiter machen haben wir bis zum Jahresende neben dem IE8 auch Chrome 8.

Eine neue Funktion ist das Synchronisieren der Bookmarks für über mehrere Rechner in Echtzeit. Mozilla-Labs bietet diese Feature für Firefox als Plugin namens Weave an.

Um das Sync-Feature zu aktivieren muss der Parameter –enable-sync an z.B. die Programmverknüpfung angefügt werden.