Logo von heise online

Suche
Daniel Bachfeld 377

Hack-Wettbewerb PWN to OWN: MacBook Air als Erstes geknackt

Von den drei zu hackenden Laptops ist als Erstes das MacBook Air mit Mac OS X 10.5.2 den Knackversuchen der Teilnehmer des "PWN to OWN"-Wettbewerbs auf der CanSecWest zum Opfer gefallen. Die Laptops mit Windows Vista SP1 und Ubuntu 7.10 blieben bislang unkompromittiert. Nach Angaben des Ausrichters des Wettbewerbs TippingPoint gelang es Charlie Miller, Jake Honoroff und Mark Daniel vom Sicherheitsdienstleister Independent Security Evaluator über eine Lücke im Webbrowser Safari das Gerät unter ihre Kontrolle zu bringen. Die Lücke soll offiziell noch nicht bekannt sein und auch weiterhin unter Verschluss bleiben, bis Apple einen Patch ausgeliefert hat. Neben 10.000 Dollar Preisgeld erhalten die Gewinner das gehackte MacBook als Dreingabe.

Anzeige

Bereits vergangenes Jahr gelang es Hackern, ein vollständig gepatchtes MacBook Pro mit Mac OS X 10.4.9 zu knacken. Als Einfallstor nutzten sie damals eine Zero-Day-Lücke in QuickTime, das sich beim Aufruf einer Webseite mit Safari oder Firefox Schadcode unterschieben ließ. Auch diesmal gelang der Hack erst in der zweiten Stufe, also unter Mitwirkung eines Anwenders, der eine präparierte Webseite ansurft. Den Netzwerkangriffen von außen widerstand auch das MacBook.

Das bisherige Ergebnis lässt aber offen, ob es nun einfacher war, Mac OS X zu hacken oder einfach attraktiver, weil es das MacBook Air dazugab. Allerdings kann sich die Hardware des Ubuntu-Systems ebenfalls sehen lassen: ein Vaio VGN-TZ37CN. Immerhin dürfte der Vorfall die Zero-Day-Patch-Rate von Apple nicht verschlechtern, da sowohl die Informationen als auch der Exploit unter Verschluss gehalten werden.

Ob die Lücke auch in der Windows-Version von Apples Safari zu finden ist, ist unbekannt. Apple hat gerade begonnen, Safari über iTunes-Updates an Windows-PCs zu verteilen.

Siehe dazu auch:

(dab)

377 Kommentare

  1. iOS und OS X: Safari-Vorschläge legen Apples Webbrowser lahm

    Apple

    Eine Fehlkonfiguration bei Apples Suchhilfe scheint aktuell der Grund für einen sofortigen Absturz von Safari, wenn Nutzer auf iPhone oder iPad die Adresszeile auswählen oder eine Eingabe starten. Das Problem lässt sich umgehen.

  2. Oracle hängt Adware an den Java-Installer für Mac OS X

    Oracle hängt Adware an den Java-Installer für Mac OS X

    Bei der Installation von Java wird nun auch Mac-Nutzern Adware angedreht – dabei handelt es sich aktuell um eine Browser-Erweiterung.

  3. OS X 10.11 El Capitan: Auf welchen Rechnern das neue Mac-Betriebssystem läuft

    «El Capitan»

    Apple gibt am Mittwoch sein neues OS X an die Nutzer frei – es ist damit zu rechnen, dass es gegen Abend soweit ist. Das kostenlose Update läuft aber nicht auf allen Macs. Ein Überblick.

  4. Pwn2own: Über eine halbe Million Preisgeld für 0day-Sicherheitslücken

    Pwn2own: Über eine halbe Million Preisgelder für 0day-Sicherheitslücken

    Flash, Firefox, IE, Chrome und Safari gehörten zu den Opfern des Pwn2own-Wettbewerbs, bei dem es darum geht, Systeme über bislang unbekannte Sicherheitslücken zu kapern.

  1. Bastler gegen Schlapphüte

    Bastler gegen Schlapphüte

    Mit einem Jailbreak ist es möglich, Apples populäres iPhone von Restriktionen zu befreien. Doch die dafür notwendigen Fehler im Mobilbetriebssystem iOS sind wertvoll: Staatliche Dienste bezahlen viel Geld.

  2. c't zockt: Freeware- und Indie-Spiele (19)

    c't zockt: Freeware- und Indie-Spiele (19)

    Diesmal bekämpft man unter anderem Riesenkäfer, Kapitalisten, als Steven Segal Terroristen oder legt eine heiße Agentensohle aufs Parkett.

  3. Unsichtbarer Zusatzspeicher

    Unsichtbarer Zusatzspeicher

    Das JetDrive Lite von Transcend erlaubt die Erweiterung aktueller Apple-Laptops mit bis zu 128 GByte, ohne dass das von außen stark auffällt.

  1. Geschleudert: Testfahrt Polaris Slingshot

    Zweirad

    Wie BRP mit dem Can-Am Spyder bietet jetzt auch der Konkurrent Polaris ein dreirädriges "Powersports"-Fahrzeug für die Straße an. Mit ein paar einfachen Mitteln haben sie dafür gesorgt, dass es gescheit fährt

  2. Android Studio 2.0 als Beta erschienen

    Android Studio 2.0 als Beta erschienen

    Google hat die erste Beta-Version von Android-Studio 2.0 bereitgestellt. Die neue IDE baut unter anderem Apps schneller zusammen und beschleunigt die Kommunikation über ADB.

  3. Was kennzeichnet ein Lean Startup?

    Die Lean-Startup-Methode ist die Kombination von schnellem Feedback und Iterationen zum Produkt, dem Überprüfen des Geschäftsmodells und dementsprechend die Schnittmenge aus Kunden- und agiler Softwareentwicklung.

  4. Botnet verteilt Avira

    Botnet verteilt Avira

    Statt eines Online-Banking-Trojaners installiert der Dridex-Bot aktuell den Virenscanner Avira auf den Rechnern seiner Opfer.

Anzeige