Logo von heise online

Suche
Daniel Bachfeld 377

Hack-Wettbewerb PWN to OWN: MacBook Air als Erstes geknackt

Von den drei zu hackenden Laptops ist als Erstes das MacBook Air mit Mac OS X 10.5.2 den Knackversuchen der Teilnehmer des "PWN to OWN"-Wettbewerbs auf der CanSecWest zum Opfer gefallen. Die Laptops mit Windows Vista SP1 und Ubuntu 7.10 blieben bislang unkompromittiert. Nach Angaben des Ausrichters des Wettbewerbs TippingPoint gelang es Charlie Miller, Jake Honoroff und Mark Daniel vom Sicherheitsdienstleister Independent Security Evaluator über eine Lücke im Webbrowser Safari das Gerät unter ihre Kontrolle zu bringen. Die Lücke soll offiziell noch nicht bekannt sein und auch weiterhin unter Verschluss bleiben, bis Apple einen Patch ausgeliefert hat. Neben 10.000 Dollar Preisgeld erhalten die Gewinner das gehackte MacBook als Dreingabe.

Anzeige

Bereits vergangenes Jahr gelang es Hackern, ein vollständig gepatchtes MacBook Pro mit Mac OS X 10.4.9 zu knacken. Als Einfallstor nutzten sie damals eine Zero-Day-Lücke in QuickTime, das sich beim Aufruf einer Webseite mit Safari oder Firefox Schadcode unterschieben ließ. Auch diesmal gelang der Hack erst in der zweiten Stufe, also unter Mitwirkung eines Anwenders, der eine präparierte Webseite ansurft. Den Netzwerkangriffen von außen widerstand auch das MacBook.

Das bisherige Ergebnis lässt aber offen, ob es nun einfacher war, Mac OS X zu hacken oder einfach attraktiver, weil es das MacBook Air dazugab. Allerdings kann sich die Hardware des Ubuntu-Systems ebenfalls sehen lassen: ein Vaio VGN-TZ37CN. Immerhin dürfte der Vorfall die Zero-Day-Patch-Rate von Apple nicht verschlechtern, da sowohl die Informationen als auch der Exploit unter Verschluss gehalten werden.

Ob die Lücke auch in der Windows-Version von Apples Safari zu finden ist, ist unbekannt. Apple hat gerade begonnen, Safari über iTunes-Updates an Windows-PCs zu verteilen.

Siehe dazu auch:

(dab)

377 Kommentare

Anzeige
  1. Flash: Mac OS X blockiert wieder ältere Versionen

    Adobe Flash

    Apples Browser Safari unterstützt das Flash-Plug-in nur noch, wenn es auf dem aktuellen Stand ist. Adobe hatte vor wenigen Tagen kritische Schwachstellen geschlossen, darunter eine Zero-Day-Lücke.

  2. Pwn2Own 2016: Hacker-Wettbewerb zahlt 460.000 US-Dollar aus

    Pwn2Own 2016

    Sicherheitsforscher haben 21 Zero-Day-Lücken in OS X, Windows und verschiedenen Webbrowsern gefunden. Einmalig in der Geschichte des Pwn2Own-Wettstreits: Alle erfolgreichen Attacken statteten die Angreifer mit System-Rechten aus.

  3. iOS und OS X: Safari-Vorschläge legen Apples Webbrowser lahm

    Apple

    Eine Fehlkonfiguration bei Apples Suchhilfe scheint aktuell der Grund für einen sofortigen Absturz von Safari, wenn Nutzer auf iPhone oder iPad die Adresszeile auswählen oder eine Eingabe starten. Das Problem lässt sich umgehen.

  4. OS X 10.11 El Capitan: Auf welchen Rechnern das neue Mac-Betriebssystem läuft

    «El Capitan»

    Apple gibt am Mittwoch sein neues OS X an die Nutzer frei – es ist damit zu rechnen, dass es gegen Abend soweit ist. Das kostenlose Update läuft aber nicht auf allen Macs. Ein Überblick.

  1. Sollte Apple OS X abschotten wie iOS?

    Die Daten auf iPhone und iPad sind so gut geschützt, dass selbst das FBI große Mühe hat, heranzukommen. Auf dem Mac ist hingegen schon der erste Erpressungstrojaner im Umlauf. Wir haben diskutiert, ob das Sicherheitskonzept von iOS auch für OS X taugt.

  2. Meinung: Andauernder Murks in Mac OS X

    Meinung: Murks in Mac OS X

    Das Betriebssystem von Apple soll, so sagt es die Legende, besonders stabil und zuverlässig sein. Dafür kostet ein Mac auch etwas mehr. Umso schlimmer ist es, dass Apple schwere Bugs in Mac OS X seit Jahren nicht in den Griff bekommt.

  3. Pro & Contra: Kommt der ARM-Prozessor im Mac?

    Pro & Contra ARM-CPU

    Die iPhone- und iPad-Prozessoren werden immer leistungsfähiger. Ihr Einsatz im Mac hätte Vor- und Nachteile.

  1. Was war. Was wird. Vom Schutzbedarf und anderen Bedürfnissen

    Was war. Was wird. Die Moritat vom Quäntchen Glück und Quäntchen Pech

    10 bis 100 Mal größer als das "Surface Web" soll das "Deep Web" sein, zu dem das schlimme Darknet gehört, aber auch das "private Web". Hal Faber ist da etwas skeptisch – auch dazu, wie der Rechtsstaat abgekocht wird.

  2. Im Test: Peugeot 508 BlueHDi 120

    Peugeot

    Der Peugeot 508 ist auf deutschen Straßen eher selten zu sehen. Dabei mag das Image seiner Vorgänger eine Rolle spielen. Das aktuelle Modell hätte jedoch durchaus mehr Aufmerksamkeit verdient, wie unser Fahrbericht mit dem kleinen Diesel zeigt

  3. Fahrbericht Ducati Multistrada 1200 Enduro

    Ducati Multistrada 1200 Enduro

    Bei den Weltumrundern gilt der Name „Ducati“ wenig. Das soll die Multistrada Enduro nun ändern, mit einem bemerkenswert bedienbaren Motor, viel Elektronik und tollen Fahreigenschaften

  4. Fahrbericht: Chevrolet Camaro Coupé V8

    Fahrbericht: Chevrolet Camaro Coupé V8

    Chevrolet legt den Camaro neu auf. Das neue Coupé bietet V8-Power und Fahrspaß für einen annehmbaren Preis und damit eine Alternative zu Fords durchaus gelungenem Mustang

Anzeige