Logo von heise online

Suche
377

Hack-Wettbewerb PWN to OWN: MacBook Air als Erstes geknackt

Von den drei zu hackenden Laptops ist als Erstes das MacBook Air mit Mac OS X 10.5.2 den Knackversuchen der Teilnehmer des "PWN to OWN"-Wettbewerbs auf der CanSecWest zum Opfer gefallen. Die Laptops mit Windows Vista SP1 und Ubuntu 7.10 blieben bislang unkompromittiert. Nach Angaben des Ausrichters des Wettbewerbs TippingPoint gelang es Charlie Miller, Jake Honoroff und Mark Daniel vom Sicherheitsdienstleister Independent Security Evaluator über eine Lücke im Webbrowser Safari das Gerät unter ihre Kontrolle zu bringen. Die Lücke soll offiziell noch nicht bekannt sein und auch weiterhin unter Verschluss bleiben, bis Apple einen Patch ausgeliefert hat. Neben 10.000 Dollar Preisgeld erhalten die Gewinner das gehackte MacBook als Dreingabe.

Anzeige

Bereits vergangenes Jahr gelang es Hackern, ein vollständig gepatchtes MacBook Pro mit Mac OS X 10.4.9 zu knacken. Als Einfallstor nutzten sie damals eine Zero-Day-Lücke in QuickTime, das sich beim Aufruf einer Webseite mit Safari oder Firefox Schadcode unterschieben ließ. Auch diesmal gelang der Hack erst in der zweiten Stufe, also unter Mitwirkung eines Anwenders, der eine präparierte Webseite ansurft. Den Netzwerkangriffen von außen widerstand auch das MacBook.

Das bisherige Ergebnis lässt aber offen, ob es nun einfacher war, Mac OS X zu hacken oder einfach attraktiver, weil es das MacBook Air dazugab. Allerdings kann sich die Hardware des Ubuntu-Systems ebenfalls sehen lassen: ein Vaio VGN-TZ37CN. Immerhin dürfte der Vorfall die Zero-Day-Patch-Rate von Apple nicht verschlechtern, da sowohl die Informationen als auch der Exploit unter Verschluss gehalten werden.

Ob die Lücke auch in der Windows-Version von Apples Safari zu finden ist, ist unbekannt. Apple hat gerade begonnen, Safari über iTunes-Updates an Windows-PCs zu verteilen.

Siehe dazu auch:

(dab)

377 Kommentare

  1. Erneut Kritik an Apple für verzögertes Sicherheits-Update

    Erneut Kritik an Apple für verzögertes Sicherheits-Update

    Mehrere Wochen waren iOS-Nutzer durch kritische Schwachstellen angreifbar, wirft eine Sicherheitsforscherin dem Konzern vor. Informationen dazu hatte Apple selbst mit einem vorausgehenden Update für Mac-Safari veröffentlicht.

  2. Android und iPhone beim Mobile Pwn2Own gefällt

    Forscher beim Mobile Pwn2Own

    Alle drei großen Mobil-Betriebssysteme sind bei der diesjährigen Mobile-Ausgabe von HPs Pwn2Own-Wettbewerb erfolgreichen Hacks zum Opfer gefallen. Der Angriff auf Windows Phone ist dabei allerdings im Vergleich noch eher harmlos.

  3. Safari für Mac OS X: Update schließt Sicherheitslücken und bringt einige Neuerungen

    Wer diesen Haken entfernt, wird nicht mehr von Websites belästigt, die gerne Infos auf den Desktop schicken wollen.

    Der Apple-Webbrowser ist für OS X Mavericks und OS X Mountain Lion in neuen Versionen verfügbar. Neben Patches gegen Sicherheitslücken gibt es Bugfixes und Änderungen an der Benachrichtigungsfunktion.

  1. Unsichtbarer Zusatzspeicher

    Unsichtbarer Zusatzspeicher

    Das JetDrive Lite von Transcend erlaubt die Erweiterung aktueller Apple-Laptops mit bis zu 128 GByte, ohne dass das von außen stark auffällt.

  2. Angetestet: MacBook Pro Retina

    Mit hochauflösendem Bildschirm, USB 3.0 und neuem Innenleben machte das neue MacBook nicht nur auf der WWDC Furore. Mac & i wirft einen ersten Blick.

  3. Bastler gegen Schlapphüte

    Bastler gegen Schlapphüte

    Mit einem Jailbreak ist es möglich, Apples populäres iPhone von Restriktionen zu befreien. Doch die dafür notwendigen Fehler im Mobilbetriebssystem iOS sind wertvoll: Staatliche Dienste bezahlen viel Geld.

  1. Träumen ist Pflicht

    BMWs Hommage an den 3.0 CSL für den Concorso d’Eleganza

    BMW zeigt beim elitären Concorso d’Eleganza am Comer See die spektakuläre Neuauflage seines 3.0 CSL aus den popfarbenen 70er Jahren. Es wird bei einem Einzelstück bleiben

  2. Taxidienst Uber versucht's ohne Fahrer

    Taxidienst Uber versucht's ohne Fahrer

    Ein mit unübersehbaren Sensoren ausgestattetes Versuchsfahrzeug des Taxidiensts Uber ist auf den Straßen von Pittsburgh unterwegs. Trotz Ubers Dementis dürfte der PKW als Vorstufe eines autonomen Autos gelten.

  3. Internet-Verwaltung: heikle Details bei der Aufgabe der US-Kontrolle über DNS-Root und IP-Registries

    Internet-Verwaltung: heikle Details bei der Aufgabe der US-Kontrolle über DNS-Root und IP-Registries

    heise online sprach mit ICANN-Vizepräsident Jean-Jacques Sahel über die Chancen, die Überleitung der IANA in ein vollständig privates Modell abzuschließen.

  4. Sexbörse Adult Friend Finder gehackt, Nutzerdaten im Netz verteilt

    Sexbörse Adult Friend Finder gehackt, Nutzerdaten im Netz

    Daten von 3,9 Millionen Nutzern der Kontaktbörse finden sich im Tor-Netz, darunter E-Mail-Adressen und sexuelle Vorlieben. Wie Sicherheitsforscher berichten, ist es an Hand dieser Informationen zum Teil möglich, auch Klarnamen herauszufinden.

Anzeige