Logo von heise online

Suche
Daniel Bachfeld 377

Hack-Wettbewerb PWN to OWN: MacBook Air als Erstes geknackt

Von den drei zu hackenden Laptops ist als Erstes das MacBook Air mit Mac OS X 10.5.2 den Knackversuchen der Teilnehmer des "PWN to OWN"-Wettbewerbs auf der CanSecWest zum Opfer gefallen. Die Laptops mit Windows Vista SP1 und Ubuntu 7.10 blieben bislang unkompromittiert. Nach Angaben des Ausrichters des Wettbewerbs TippingPoint gelang es Charlie Miller, Jake Honoroff und Mark Daniel vom Sicherheitsdienstleister Independent Security Evaluator über eine Lücke im Webbrowser Safari das Gerät unter ihre Kontrolle zu bringen. Die Lücke soll offiziell noch nicht bekannt sein und auch weiterhin unter Verschluss bleiben, bis Apple einen Patch ausgeliefert hat. Neben 10.000 Dollar Preisgeld erhalten die Gewinner das gehackte MacBook als Dreingabe.

Anzeige

Bereits vergangenes Jahr gelang es Hackern, ein vollständig gepatchtes MacBook Pro mit Mac OS X 10.4.9 zu knacken. Als Einfallstor nutzten sie damals eine Zero-Day-Lücke in QuickTime, das sich beim Aufruf einer Webseite mit Safari oder Firefox Schadcode unterschieben ließ. Auch diesmal gelang der Hack erst in der zweiten Stufe, also unter Mitwirkung eines Anwenders, der eine präparierte Webseite ansurft. Den Netzwerkangriffen von außen widerstand auch das MacBook.

Das bisherige Ergebnis lässt aber offen, ob es nun einfacher war, Mac OS X zu hacken oder einfach attraktiver, weil es das MacBook Air dazugab. Allerdings kann sich die Hardware des Ubuntu-Systems ebenfalls sehen lassen: ein Vaio VGN-TZ37CN. Immerhin dürfte der Vorfall die Zero-Day-Patch-Rate von Apple nicht verschlechtern, da sowohl die Informationen als auch der Exploit unter Verschluss gehalten werden.

Ob die Lücke auch in der Windows-Version von Apples Safari zu finden ist, ist unbekannt. Apple hat gerade begonnen, Safari über iTunes-Updates an Windows-PCs zu verteilen.

Siehe dazu auch:

(dab)

377 Kommentare

Anzeige
  1. Pwn2Own 2016: Hacker-Wettbewerb zahlt 460.000 US-Dollar aus

    Pwn2Own 2016

    Sicherheitsforscher haben 21 Zero-Day-Lücken in OS X, Windows und verschiedenen Webbrowsern gefunden. Einmalig in der Geschichte des Pwn2Own-Wettstreits: Alle erfolgreichen Attacken statteten die Angreifer mit System-Rechten aus.

  2. Stabilitäts- und Sicherheits-Update für El Capitan

    Stabilitäts- und Sicherheits-Update für El Capitan

    OS X 10.11.3 liefert eine Reihe von Fehlerbebungen für das aktuelle Mac-Betriebssystem. Unter anderem werden 15 Lücken geschlossen.

  3. Flash: Mac OS X blockiert wieder ältere Versionen

    Adobe Flash

    Apples Browser Safari unterstützt das Flash-Plug-in nur noch, wenn es auf dem aktuellen Stand ist. Adobe hatte vor wenigen Tagen kritische Schwachstellen geschlossen, darunter eine Zero-Day-Lücke.

  4. Apple ergreift Maßnahmen gegen Silverlight-Exploit

    Apple ergreift Maßnahmen gegen Silverlight-Exploit

    Versionen des Microsoft-Plug-ins, die älter als Version 5.1.41212.0 sind, können künftig nicht mehr ausgeführt werden.

  1. Sollte Apple OS X abschotten wie iOS?

    Die Daten auf iPhone und iPad sind so gut geschützt, dass selbst das FBI große Mühe hat, heranzukommen. Auf dem Mac ist hingegen schon der erste Erpressungstrojaner im Umlauf. Wir haben diskutiert, ob das Sicherheitskonzept von iOS auch für OS X taugt.

  2. 40 Jahre Apple. Ein Rückblick auf die Erfolgsgeschichte.

    40 Jahre Apple

    Am 1. April wurde die Apple Inc. aus der Kleinstadt Cupertino in Kalifornien vier Jahrzehnte alt. Stephen G. Wozniak, Steven P. Jobs und Ronald G. Wayne unterzeichneten vor 40 Jahren die Gründungsurkunde. Was hat sich seitdem getan? Viel!

  3. Pro & Contra: Kommt der ARM-Prozessor im Mac?

    Pro & Contra ARM-CPU

    Die iPhone- und iPad-Prozessoren werden immer leistungsfähiger. Ihr Einsatz im Mac hätte Vor- und Nachteile.

  1. Testlauf: Media Markt liefert per Zustell-Roboter direkt nach Hause

    Media-Markt startet Roboter-Test zur Warenlieferung

    Statt fliegender Drohnen schickt der Elektronikhändler Media Markt einen rollenden Roboter auf die Straße. Getestet wird das Projekt zunächst für drei Monate mit 1000 Haushalten in Düsseldorf.

  2. Unfall mit "Autopilot" in Deutschland: Tesla fährt auf der Autobahn auf Bus auf

    Tesla Model S

    Auf einer Autobahn nahe Hamburg kam es Mittwoch wohl zu dem ersten Unfall in Deutschland, an dem ein Tesla mit eingeschalteter "Autopilot"-Funktion beteiligt war: Ein Model S fuhr auf einen Bus auf. Die genauen Umstände werden nun untersucht.

  3. Red Bull Illume Award – Die Gewinnerfotos

    Red Bull Illume Award – Die Gewinnerfotos

    Die Gewinner des weltweit größten Wettbewerbs für Action und Adventure Sportfotografie stehen fest: Die alle drei Jahre verliehenen Red Bull Illume Awards wurden in Chicago vorgestellt.

  4. Rekord-DDoS-Attacke mit 1,1 Terabit pro Sekunde gesichtet

    Rekord-DDoS-Attacke

    Höher, schneller, weiter: Ein stetig wachsendes IoT-Botnet soll die Server eines französischen Web-Hosters mit gewaltigen Datenmengen bombardiert haben. Dabei handelt es sich offensichtlich um den bisher größten dokumentierten DDoS-Angriff.

Anzeige